Security Brief 在2025年 3月 5日分享了Fastly公佈的研究,93%的組織過去一年變更政策以解決有關資安長面對個人隱含的責任風險日益升高的憂慮。
包括41%的組織加強資安長參與董事會層級之策略性決策。此研究是因最近法規之故應運而生,比如美國證券交易委員會(SEC)關於公開發行公司網路安全風險管理、策略、治理和事件揭露(Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies)的規定,強調對於資料外洩,留意公司之問責制以及最終,歸於資安長的責任風險。
為減少潛在的責任風險,38%的調查受訪者已加強校對從政府監督機構取得之安全揭露文件,類似比例的受訪者加強網路安全同仁在法律方面的支持,包括引進責任保險。
Fastly資安長Marshall Erwin對於這些措施足夠真正保護組織及其網路安全團隊的憂慮加深。他說:「鑒於無可避免的另一次全球大當機將使得資安長應有的責任重回鎂光燈焦點,看到絕大多數公司對責任揭露做出改變,令人十分鼓舞。然而,儘管投資於法律保護是重要的一步,此項改變經常更強調保護公司免於法律風險,而非培養有意義的問責制以推動更佳的安全運作實務。」
他進一步強調說:「適當的問責制要求超越責任保險與揭露校訂。為了實現有意義的改變,我們需要把責任看成是激勵更好安全性的正面力量。為此,我們需要監理機關和執法者制定更好、更明確的標準,來區分不可避免的事件,以及可避免的事件(因安全實務確實不足而造成)。」
此研究也突顯出網路安全事件發生時的責任不明,近半接受調查的組織不清楚由誰承擔最終責任,並且只有36%明確劃分團隊內的角色及責任。
Marshall Erwin闡述此議題,表示:「資安長不針對每個決策做最後拍板。關於安全風險,董事會應該問的問題是:『我們有調整預算來因應資安長向我們所傳達的風險嗎?』這是問責的起點—高階領導層,有清楚的溝通和相對應的資源。」
他接著強調集體責任的重要性:「責任不是落到某一個人身上—責任需要在組織的每個層級明確溝通,以瞭解如何及為何網路安全風險應該降低,以及應如何協調努力以降低曝險。」
報告建議,產業需要為未來受高度關注的事件做好準備,建立更健全的問責架構,鼓勵有意義的行動,而不僅止於遵循。此外,隨著監理標準發展,組織應該把資安長責任風險看成強化其安全架構及推動全面變革的機會。
Fastly的研究包含Sapio Research 於 2024 年 9 月對1800位涉入網路安全的資訊科技決策者所進行的調查。受訪者來自北、中、南美、歐洲、亞太與日本各產業的大型組織。
資料來源:https://securitybrief.com.au/story/change-in-ciso-liability-policies-at-93-of-businesses
沒有留言:
張貼留言