這篇是2025年5月1日在Cyber Security News網站刊出的文章"Why Your CISO Should Report to the CEO, Not the CIO"。
傳統上資安長是對資訊長報告的,顯示網路安全就是技術概念。然而,這個模式越來越與現代現實相左。
網路安全不在是IT問題,而有策略的至高無上性,因為它會影響股東信任、監理遵循以及業務延續。
將資安長升級直接向執行長報告,是顯示根本的轉變:網路安全現在就是公司治理的基礎,需要與財務、法律、營運優先事項一樣的作法。
提升資安長角色的五個理由:
*消除利益衝突:資訊長監督IT基礎設施,以及平衡績效、成本與安全。當資安長相資訊長報告時,安全的優先性或許會被降低,以避免干擾企業營運。直接向執行長報告,會強化資安長力量,倡導必要的安全保障而不需面對內部壓力妥協。
*確保預算自主:網路安全措施通常會與IT計畫競爭資金。向執行長報告的資安長,可以以企業風險角度陳述安全投資,確保預算反應組織優先事項,而非IT部門的壓力。
*強化董事會層級的溝通:網路風險是董事會的議題。資安長向執行長報告,可定期接觸到高階經理人、董事,將技術威脅轉譯成業務衝擊。此透明會確保治理決定考慮的新興風險,比如勒索軟體或供應鏈攻擊。
*強化風險管理:網路風險會與法律、財務、營運風險交錯。向執行長報告的資安長可跨部門合作,將安全納入企業風險架構,確保全面地減少風險。
*達成監理預期:像SEC的網路安全揭露規定與GDPR這些規範,都要求組織要展示積極的風險管理。向執行長報告的資安長會展現嚴格的監督、減少法律和聲譽暴險。
有執行長背書的資安長,可透過在設計時考慮到安全的原則,確保新技術是安全的部署,而非再外加保護機制。
*積極的威脅智慧:向執行長報告的資安長可投資先進的威脅智慧平台,利用地緣政治與產業專屬資料來預測攻擊。此積極的狀態會與以IT為核心之報告結構裡的被動模式形成對比。
*跨部門合作:網路安全會影響人資(網路釣魚訓練)、法務(契約安全機制)、行銷(客戶資料保護)。向執行長報告的資安長,會打破穀倉效應,合作地因應像資料外洩或內部人威脅之類的事件。
問題不再是:資安長是否能進入高階經營團隊,而是組織能多快適應這個最重要的事項。
資料來源:https://cybersecuritynews.com/ciso-reporting-structure/amp/
沒有留言:
張貼留言