(1)當組接納策略安全領導時,資安長角色就會延伸出網路安全領域
Cybersecurity News在2025年 6月 2日報導了一份研究結果,一窺資安長的轉型以及該分析中所區分出來的三種資安長類型。
資安長角色的傳統邊界正在快速消解中,因為組織認識到網路安全領導力的策略價值,不只在技術保護。
一份針對多個產業、超過800位資安長的全面性分析顯示:大多數安全高階經理人都經驗到前所未見的責任擴張,涉及到的領域比如企業風險管理、更廣的安全功能、IT監督以及數位轉型措施。
此演變代表,組織如何認知網路安全領導力、從純粹技術功能轉移到策略業務實現者,有著基本的轉變。
此擴張不只是外加,而是轉型,有近39%的資安長現在具備高階經理人的頭銜,包括資深副總裁與執行副總裁,較兩年前的35%有逐漸增加。
這些領導職位越來越能夠直接接觸到長字輩主管,並定期與董事會議合,基本上改變了網路安全的專業發展方向。
IANS & Artico Search的分析辨明了此趨勢,作為更廣的組織認識的一部份—網路安全已成為企業營運及策略決定不可或缺的一部份。
此研究顯示了,將近一半的資安長現在會每月或每季與董事會議合一次,在年營收超過100億美元的公司,這個數字甚至升到65%。
除此之外,某些安全領導人正轉型為風險長、管理整個企業的風險與流程,或者擔任新興的信任長職位,特別是在信任與透明對企業營運和客戶關係很重要的產業。
此轉型現在也不是毫無挑戰,因為範圍擴張會難以管理,並與提高工作滿意度或職業發展機會不一定有關聯。
研究顯示,資安長專業性可進一步區分為三個不同類型,反映不同程度的組織影響力和策略定位。
策略性資安長(佔比為整體的28%)維持著因較高組織地位可直接接觸執行長、以及藉由每季會議或具委員會身份可定期與董事會議合。
功能性資安長(佔比為受訪者的50%)則擅長於接觸長字輩或董事會影響力,但相對於策略性資安長,缺乏全面性策略定位。
剩下來的22%是戰術性資安長,他們對高階經理人之接觸有限,而且董事會議合是零星的,因此薪酬水準及職業滿意度最低。
研究顯示,這三組資安長之間的薪酬差異很大,策略性資安長薪酬比起戰術性資安長的幾乎多出一倍。
更重要的是,資料顯示比起戰術性資安長,策略性資安長有兩倍的可能性會說「非常滿意」其職業發展,這顯示組織定位與職業成就感和成長機會有直接關係。
該研究顯示,大多數成功的資安長是能成功掌握長字輩主管和董事會議合之複雜性,並且將自己定位為策略性業務伙伴,而非只是技術操作者。
資料來源:https://cybersecuritynews.com/ciso-roles-expand-beyond-cybersecurity/
(2)資安長管理董事會網路安全關切的劇本
Cyber Security News在2025年 6月 1日分享,當網路安全威脅加劇且監理審查增加,資安長面對巨大壓力,要有效地向董事會溝通複雜的技術風險。
新的研究顯示,在董事會網路素養和資安長滿意度之間存在巨大落差,突顯對董事會網路安全討論亟需結構化的方法。
溝通的挑戰
今日資安長面對的嚴峻現實是:近60%的董事會成員相信,他們在過去一年沒有接受足夠的網路安全訓練。
此知識落差會引發連鎖效應—董事會在技術策略上,比較不可能如同財務績效般健全地挑戰管理階層。
這個結果還不只是會錯過策略機會。缺乏網路意識,也會因揭露不足而被調查和訴訟。
有鑒於美國證券交易委員會(Securities and Exchange Commission)新的網路安全揭露要求—詳細報告董事會層級的監督實務,此風險特別嚴重。
滿意度落差
當前的董事會議合模式顯示,資安長工作滿意度上有驚人的不一致。在沒有董事會議合的資安長方面,僅28%表示對工作滿意,而至少與董事會至少有一些些接觸者,則為57%。
儘管有此明顯的相關性,但僅半數資安長會每季與其董事會議合,而25%是每年會面一或兩次。
縱使在年營收超過100億美元的公司,僅60%資安長會定期與董事會會面,顯示公司規模不保證有效的治理結構。
當董事會對網路安全之關注到達前所未見的水準時,此不一致就會發生,有93%的董事會視網路風險為利害關係人價值的威脅。
建立有效溝通架構
產業專家倡導結構化方法以縮短技術-業務的分歧。資安長須藉由研究個別董事之背景、興趣和專業水準,來「瞭解其董事會。」
這個準備可以實現專門設計的訊息,與多元的董事會組成達成一致,從財務專家到精通技術者。
讓它簡單、以業務為主
董事會成功的基本原則,涉及將技術複雜性轉化為企業語言。資安長應該瞭解其組織最主要的經營風險,並能在必要時詳細討論。
然而,這個平衡要細膩—過度簡化會有破壞可信度的風險,而過多的技術細節會讓董事會成員混淆且孤立。
成功的資安長要避免用「擔憂、不確定和懷疑作為武器」,而把自己定位為公正的風險顧問—協助企業領導人瞭解風險容忍度並做出明智決定。
此方法會將安全從被視為「說不」轉化為業務推手,進而支持成長目標。
三個支柱的架構
「資安長辦公室」架構會為董事會議合提供一個全面性的結構,將活動組織進三個核心功能裡。
首先,「策略」、「治理」與「監督」包含政策一致性、企業風險管理以及監理遵循—會直接影響董事會受託責任的領域。
其次,「討論與合作」強調在「承平時期」建立關係,促進危機時有更順暢的合作。這包括定期的董事會報告,以釋放董事會見解之價值,而非對待報告為義務的常規工作。
第三,「運作」確保健全的安全維持,同時透過對董事會優先事項重大的指標,展現具體的企業價值。
結構性的考量
分析標準普爾500指數(S&P 500)公司的研究顯示,71%會將網路安全監督授權給審計委員會,不過這依產業而異。金融服務公司主要會將監督指派給風險委員會,強調整體風險管理。
僅少數公司會將網路風險視為整個董事會的議題。
這些結構性決定會明顯影響資安長效能。董事會必須評估—現行委員會結構是否能適當處理網路安全的跨部門性質,並考慮董事之間是否需要特殊的專業知識。
展望未來
最近幾年生效的新揭露要求表明,持續演變的監理局勢需要董事會-資安長之間有更緊密的合作。
成功將網路安全領導與董事會監督結合的組織,會透過更佳的風險管理和策略決定獲得競爭優勢。
隨網路威脅持續升高,董事會網路安全討論之品質將日益決定組織的韌性。
擅長將技術風險轉化為企業最重要事項的資安長,更能夠確保全面性安全計畫有必要資源和支持。
訊息很清楚:有效的網路安全治理需要技術專長和細膩的溝通技能,以縮短複雜威脅與經營策略之間的落差。
對資安長而言,董事會已成為重要戰場,一如他們所防禦的所有戰線一樣。
資料來源:https://cybersecuritynews.com/cisos-playbook/
.JPG)
沒有留言:
張貼留言