這篇是2025年3月31日在Deloitte刊出的報導,Deloitte的Center for Board Effectiveness與Center for Audit Quality所公佈的最新Audit Committee Practice Report,突顯網路安全是國際審計委員會最主要的問題,而且過去幾年皆然。有一半的受訪者視此為第一關注的領域、62%說審計委員會主要負責此事,而23%認為,由整個董事會主責監督。71%的受訪者說,此主題會每季列在董事會議程上,50%稱網路安全是他們想要發展技能以強化審計委員會效能的前三大領域。
Deloitte的網路專家Anu Laitila表示,不只是大、資產多的公司會擔心網路安全。很多罪犯(個人或犯罪組織、甚至是流氓國家)動機都是錢。這類似於供應鏈:當某人在工作的電腦瀏覽器上儲存了登入的詳細訊息,然後又在個人電腦上使用同樣的瀏覽器檔案,則網路罪犯或許可能會取得電腦或網路的進入管道。如果個人電腦出問題,就可能導致安全漏洞。若這個人是擔任IT供應商,那攻擊者就有可能取得客戶系統的進入管道、引發巨大風險。
董事會成員—特別是從個人電腦或電郵看董事會資料的人,或許需要注意。同樣重要的是,董事會成員能夠快速接觸到網路安全團隊,當問題發生時很快可以聯繫,一如組織內其他人一樣。
Anu說,有1000雙眼睛在看,事件報告機率會上升。與此同時,也代表除了安全主管以外,你還有1000道防火牆。
前述的Audit Committee Performance Report列舉了幾個問題,是審計委員會或許可以提問的:
1.新技術如何影響到威脅環境?
2.如何訓練新員工而減少與攻擊相關的風險?
3.如何考慮與網路安全有關的第三方?
不過,網路安全不只是業務延續與韌性的問題,還是策略上最重要的經營事項。優先重視網路安全,對於推動企業成長、維持韌性、值得信任的組織而言十分重要。比如,健全的安全措施會讓公司拉開與競爭者的距離、吸引重視資料安全的客戶及伙伴。此外,股東也會受到保障:他們的投資人有被保護,繼而帶動更高的忠誠度和更佳的股價績效。
沒有留言:
張貼留言