這篇是由Craig Bates所寫、2025年3月11日Splunk刊出的"Four ways CISOs can strengthen their influence in the boardroom"。以下來分享這四個方法。
根據Splunk的CISO Report 2025,83%的全球資安長在董事會上有席次,顯示其對經營事宜的影響力。不過,僅29%說他們的董事會有包括至少一位具網路安全專長的成員。此顯示:雖然董事會對網路安全更注意了,但很多仍缺乏深入的技術知識,以完全掌握今日網路安全風險的複雜性。
為了建立數位韌性,資安長需要縮短落差、確保其網路安全被視為長期投資,而非被動的成本。
以下是資安長可強化其與董事會的四個方法,並定位網路安全為企業穩定和成長的關鍵推手。
1.以企業語言談網路安全
網路安全通常是以高度技術性語言來討論的—endpoint detection, firewalls, security information and event management (SIEM),但董事會成員卻不需要知道太多細節。即問題是:網路安全會如何影響到營收、營運和長期成長。
資安長需要改變其對話方式—從技術轉向企業成果。網路安全投資應該以投資報酬率(ROI)方式架構,展現積極的網路安全如何減少停機時間、保護獲利以及確保品牌聲譽。執行現實世界的操作,像模擬資料外洩,可突顯網路安全在維持數位韌性上的角色。
2.精通企業敏銳度
資安長必須積極發展其企業敏銳度,方式是學習基本的財務原則、風險和變動管理,以及公司策略。與財務、法務和營運團隊接觸(同時參加預算和策略討論),可針對企業決策提供寶貴見解。投資領導力發展或指導計畫,可進一步促進其超越網路安全的思考能力,並與經營優先事項一致。
不只要精通企業敏銳度。資安長也將需要發展軟技能。這包括磨練更有效的溝通工具,並理解董事會會傾向收到哪些資訊。強化情緒商數,也需要花很長一段時間。
3.負責遵循與當責性
為了保持領先,資安長可以從關注當地規定及自身法律責任開始。向法律顧問諮詢,可協助釐清個人責任、處理聘僱合約中的落差。同樣重要的是,教育董事會遵循風險、確保領導人完全掌握:未達成監理要求時的財務和法律後果。
4.制定可行的建議
沒有留言:
張貼留言