這篇是John-Paul Cunningham所寫、2025年 4月 21日在SC Media刊出的”5 ways corporate boards can support CISOs in 2025”。以下分享這五個方式。
資安長角色最近幾年已大幅轉變,從技術轉變為重要的企業領導職位,要協助組織減少的有網路風險以外,還有整體經營風險。
若資安長要為資料外洩負起責任,公司就必須賦予他們決策權、讓他們接觸得到領導層,以及執行其安全策略的必要資源。組織需要開始思考,資安長就是其他長字輩經理人的同事,在會議桌上也有席次。不然的話,組織在資料外洩上仍就脆弱,會引發財務損失、聲譽受損以及其他後果。
以下是董事會應該採取的五個行動,以強化網路安全領導、減少風險:
1.確保能直接、未過濾地接觸到領導層:資安長必須具備一個向董事會完備的報告線(不再經手他人)。雖然對所有組織而言直接向董事會報告未必都務實,但資安長必須要有一個明確、獨立的管道溝通風險,而不受其他高階經理人的過濾。
2.任命董事會層級的資安長倡議者:除了對董事會有直接、未過濾的管道以外,資安長在董事會上都應該要有一個專屬的「最佳盟友」,能定期與資安長會面、瞭解其挑戰,並在董事會上代為倡導相關事宜。董事會倡議者應該至少要每個月與資安長會面,理想上要共同主持資安長指導委員會以確保安全優先事項符合整體企業策略。此模式會協助確保資安長的關切事項會持續地反映出來。
3.授予資安長真正的權力:別將資安長視為IT主管。董事會必須明確定義、並授予資安長決策權,讓他們有權說「不,因為這有風險,所以我們不做X」,而不用擔心被反對或報復。資安長在資訊風險和網路安全事宜上必須具備管理階層的權限、對企業應用程式最基本的安全控制能有命令權,以及對於違反董事會和管理階層風險胃納的事宜能作「否決」或至少要求暫停。管理階層應該視資安長為他們在資訊和網路風險方面的首席顧問,並比照法務長一般對待。
4.確保整個企業營運的網路安全:資安長對所有營運部門的網路安全計畫都必須有一定角色。不再只是技術功能而已。資安長需要監督所有存在風險的關鍵營運流程。當我們討論限定的存取管道和身份安全時,資安長需要有權實行企業和IT團隊的控制。這意味不僅是確保傳統IT環境的安全,也要確保高風險的業務使用者(比如財務團隊、高階經理人與管理敏感交易者)在健全的安全措施下運作並維持同樣的安全標準。
5.重新調整安全預算:不應該讓過時的IT預算比較基準限制了安全方面的支出。因此,組織必須瞭解他們今日的風險,以及如何衝擊到企業。如此他們才能重新評估重中之重為何,以及重新調整安全預算以便最佳地處理落差。然而,公司不能只把這件事丟給資安長;必須將他們拉進董事會。如此,董事會與資安長需要重新評估需保護的事項,並據此配置必要的人員、資源與預算。
資料來源:https://www.scworld.com/perspective/5-ways-corporate-boards-can-support-cisos-in-2025
沒有留言:
張貼留言