這篇"Why Every CISO Should Be Gunning For A Seat At The Board Table"是由Tony Bradley所寫的文章,2025年5月9日在Forbes網站刊出。以下分享部分內容。
隨經濟不確定、監理壓力升高及網路安全現在成為公開發行公司最主要風險之際,CrowdStrike的執行長George Kurtz提出了一個大膽的行動倡議:資安長是時候爭取董事席次了。他的訊息很清楚:在未來十年,董事會對網路安全專家的態度不只是歡迎,而是必要。
為了說明為何資安長有此治理上的突破,Kurtz追蹤了董事會組成在過去一段時間的演變。50年前,董事會席次通常還是由內部人組成—執行長的友人,典型上具財務、法律或製造背景。少數董事會會設審計委員會,而風險監督十分稀少。
這個改變在2000年代初期大幅改變。像Enron與WorldCom這些醜聞案刺激了立法改革,最有名的就是2002年Sarbanes-Oxley法,其引入了現代的審計委員會、提升了財務長角色,使得財務專業知識為董事會的基本要求。
Kurtz認為今日也會有類似的轉變,因為資料外洩揭露規定和升高的網路威脅,讓網路安全受到注意。他強調,網路風險已成為治理議題—不只是遵循的方格打勾。他相信資安長若做好晉升準備的話,會是下一批進董事會的人。
為了協助安全主管實現此一躍進,Kurtz提供一個簡單的三部分架構:
1.提升經營技能:資安長應該瞭解公司哪裡可以創造價值、以及如何創造價值。這包括熟悉財報、瞭解關鍵功能性委員會之責任,以及能夠詮釋定義董事資格的委託投票說明書。
2.以董事會的語言說話:Kurtz用一個簡單的架構來總結董事會的優先事項—時間、錢與法律風險。安全主管必須學著以這三個推動力重新架構威脅。董事會想要知道—問題會如何延後上市時間、侵蝕獲利,或者增加法律責任。
3.建立你的品牌和人脈:相對於光靠技術聲譽,Kurtz呼籲資安長要積極培養自己作為策略思考者的能見度。這意味報告完畢後留在董事會上、聆聽委員會討論,以及在治理活動上與董事建立關係(比如NACD辦的)。經過一段時間,互動就會建立起信任以及機會。
沒有留言:
張貼留言