這是2025年2月26日在CSO刊出的"What CISOs need from the board: Mutual respect on expectations"。以下針對「董事會想要資安長什麼」、「資安長想要董事會什麼」兩部分介紹。
董事會想要資安長什麼
董事會非常期待資安長有效風險管理及溝通。他們大多數想要透明與真相。這需要轉譯技能,因為資安長必須將複雜的網路安全風險轉化為明確的商業用語和潛在影響,使董事會可瞭解並採取行動。
雖然明確、簡潔的風險溝通很重要,但董事會也期待能定期更新—可能影響營運目標的組織安全態勢、關鍵威脅以及缺點,所有的說明不需要用術語。
董事會成員在個人法律責任上會有風險,因此他們想要透過與營運目標一致的長期安全策略,來實現策略領導力,並有明確指標和具成本效益的資源配置。對資安長最重要的是:在向董事會報告時要知道這一點。
遵循和治理,對董事會是關鍵考量點。他們需要監理遵循之保證、安全控制奏效的證據,以及查核發現和補救措施之更新。監理機關很少會直接處理向董事會報告的內容,而是審視董事會的議事錄。
董事會也期待要有堅實的事故準備,對於組織能有效偵測、回應威脅有信心,而且有經過測試的因應計畫和明確的安全事件溝通機制。這包括董事會自身明確瞭解他們在這些情境內的角色。作者自身就看過董事會要求要讀過一遍網路安全手冊。
能推動業務是另一個關鍵期待,董事會想要的是:能推動成長、而非阻礙的安全解決方案,以便在安全控制和營運效能之間找到平衡,同時支持數位轉型措施。
董事會想要資安長回答一個基本問題:我們的風險胃納是否夠安全,如果為否的話,我們需要採取什麼行動?這是一個容易問、但不見得好回答問題,更別說以外行人懂的語言來解釋了。
資安長想要董事會什麼
資安長需要董事會具體且長續的支持,以有效保護組織免受網路威脅。資安長和董事會強健的伙伴關係,對於建立和維持健全的網路安全實務很重要。作者想引用一位資安長Robert Veres所言:「董事會應該支持紅燈、挑戰綠燈。」這就是資安長需要的支持。
董事會必須協助制定—符合組織風險胃納的總體策略方向。高層次的指引會提供這樣的架構—資安長可發展和落實的安全計畫。雖然資安長可建立網路風險文化,但他們需要董事會藉以下方式予以強化—從最高層定調、並確保網路安全遵循是所有層級管理和業務單位重視這件事。這對某些董事會而言是很困難的,因為他們可能不太瞭解業務及科技策略之整合。
對資安長的關鍵需求是:有一個堅實的職權範圍,在明確的責任下運作。他們需要有權行事,並在不過度介入下保衛公司,讓他們可快速且有效地因應新興威脅。
董事會也必須瞭解網路風險都同樣重要,並支持資安長優先關注最重要的威脅。
資安長也需要董事會提供適當資源和預算,以支持落實網路策略。在缺乏適當的財務支援和能源配置下,就算最佳的安全策略還是達成不了目標。資安長總是—有責任、但未必有預算或資源達成目標。
這些支持要求不是急就章,需要中期的持續注意與承諾。許多企業現在都面臨到重要工作,以改善其安全態勢,而董事會可能無法接受現狀了。
沒有留言:
張貼留言