(1)董事會有效議合網路安全的策略
這一篇"Empowering cybersecurity leadership: Strategies for effective Board engagement",是由Claire Nuñez與Jennifer Szkatulski所寫、2023年11月13日刊載於Security Intelligence網站。以下分享一些內容。
根據Harvard Business Review,僅47%的董事會成員會定期與資安長議合。這凸顯了在網路安全現況及董事會認知之間,存在巨大落差。董事會在網路危機方面是很關鍵的,因為他們所做的決定,是受到客戶、公眾,現在還有監理機關進一步要求的。
Cost of a Data Breach Report 2023的證據顯示,網路攻擊與資料外洩的成本逐年提高。在2023年,資料外洩成本自2020年以來增加15.3%。許多組織的受攻擊面也因數位轉型措施而增加。
與董事會議合,看來是個困難的任務,但還是有一些步驟,是組織可用來確保董事會達成網路安全目標的。
步驟1:教育董事會
*確保對會影響組織的最新法規,提供整體性的報告。不負責安全的職位者,或許不知道外洩通知時間表、或者揭露的門檻的複雜性。
*確保董事會瞭解組織內的安全團隊如何運作。確保他們瞭解不同用途的供應商。此外,讓董事瞭解因應計畫,縱使只是要點式的,都可以擴大安全主管與董事會成員之間的連結。
步驟2:發展與董事會之間的共通語言
*與董事會建立起一個共通語言。這意味確保每個人都知道縮寫代表什麼。同樣的,確定對一般性的安全術語與威脅有基本的瞭解。在組織內最好有共通的定義。
*定義危機是什麼(什麼不是)。透過建立Cyber Crisis Management Plan,你的組織將具備基本的品質標準與定義。我們之前看過太多次:在危機發生前團隊有歧見時,會引發許多問題。
步驟3:爭取支持
*建立內外部資源,以支持你的網路安全措施。讓你的長字輩主管能培養整個組織的深度安全文化。
*向董事會提供高品質的威脅知識簡報,可針對董事會成員在意的策略目標,提供專屬的意識與觀點。
步驟4:有效地與董事會溝通
*每月、或每季一次提供董事會概觀性的安全更新資訊,凸顯關鍵措施。
*保持與非科技出身者對話,並提供關鍵指標。這些利害關係人不需要非常細節的內容,但瞭解角色、時間表及何時涉入,對他們會有幫助。記住,安全因應措施是企業整體性的工作,董事會也是其中一部份。
*保持溝通管道開放,讓董事會瞭解安全新知或內部宣傳活動。
(2)網路治理:對資訊安全監督與責任更高的期待
這一篇是由ISS的Subodh Mishra所寫,在2023年11月6日刊載於Harvard Law School Forum on Corporate Govenance網站的文章"Cyber Governance: Growing Expectations for Information Security Oversight and Accountability"。裡面是作者(以及ISS)對美國公司在網路治理方面的觀察,相當值得目前也要導入相關作法的國內公司參考;其中關於保險部分還頗有趣。以下分享一些內容。
美國證管會(SEC)在2023年七月宣布了新的法規,要求公開發行公司要每年揭露:資安風險管理策略以及治理實務,而且當重大安全事故發生時要盡快報告。當這些要求生效時,企業要考慮的不只是如何遵守新規範,還有他們如何能最佳地展現健全的資訊安全治理。
揭露處理網路安全的方法
在SEC規範生效前,有的公司已採取集中化的措施,向利害關係人報告他們具備有效的方法管理網路安全威脅。Russell 3000指數中幾乎所有的公司都會揭露:他們至少具備某種一般性的方法,可降低資安風險。此外,有超過一半的Russell 3000公司會對資安風險作詳細揭露,並具備減緩策略或計畫,而且是建議的「明確」方法,比如 ISO 27005的採用或認證。在S&P 500指數方面,有超過八成的公司會詳細報導風險與降低的方法。未詳細討論網路安全方法的公司,越來越會被視為市場的落後者,因為公司想要針對其風險減緩策略,向投資人提供更多資訊。
更多公司正選擇報告培訓計畫,S&P 500公司有85%、其餘的Russell 3000有一半會做這些揭露。這在過去兩年間有顯著增加(S&P 500增加近55%、其餘的Russell 3000增加100%),而且更多公司選擇會揭露其培訓計畫的詳細內容。
公司培訓計畫之頻率持續成長
所有指數中每年至少會舉辦一次培訓計畫的公司,數量持續成長,S&P 500表現突出,因為有超過一半的公司至少每年會舉辦一次。
這些揭露所在的地方,幾乎平均分配在公司委託投票說明書、年報及其他公開揭露處—比如公司永續報告或公司網站。然而,過去兩年來看,會在年報上揭露的算少數,大多都偏好在委託投票說明書或他處。
資安風險之保險,是另一個觀察指標—公司是否具備對應網路安全風險之計畫。不過公司可能比較不想揭露這項資訊。會投保這類保險,意味公司已達到基本的風險標準,亦即風險程度較低。這種揭露對利害關係人可能會也幫助,因為獲得保險,意味公司已採取措施,當成本高昂的資料外洩發生時,可轉嫁其財務風險。
有近67%的S&P 500公司、57%其餘的Russell 3000公司在九月時有揭露他們具備資安風險的保險,此揭露在過去兩年間有所增加。有鑑於暴險規模,大多數公司仍處於保險不足狀態,而保險業者在滿足產業需求上,也面對著特殊的挑戰。不過,與培訓計畫一樣,有越來越多的公司正揭露風險保險狀況、或增加新的政策。此類揭露最常會出現在年報—有近80%的S&P 500與近90%其餘的Russell 3000公司會在此揭露資安風險保險,其餘才是委託投票說明書或他處。
董事的專長
SEC最終版規範並沒有納入:董事會要明確揭露其成員所具備的網路相關專長。不管公司是否願意揭露董事的網路專長,許多投資人都認為董事在資安監督上負有勤勉之責,以利股東。具備相關技能的董事,是向股東展示:董事會有所需的專長,能有效監督網路安全風險。大公司通常會有具資安專長的董事,S&P 500有一半的公司至少有3位董事具相關專長。小公司方面具此專長的董事就比較不普遍。其餘的Russell 3000公司則有超過40%沒有任何具網路安全專長的董事,僅20%公司有超過3位董事具備此技能。
雖然大多數S&P 500公司至少會每年一次向董事會、或委員會報告資安相關措施,但其餘的Russell 3000公司超過一半不會揭露是否會做此報告。會定期與資安長、其他負責的經理人溝通的積極董事會,會覺得自己更能提供有效的資安監督。
網路安全事故
根據SEC的新法規,有經驗到網路安全事故的公司,須盡快在四個工作天內揭露此資訊。在此新規範於12月5日生效之前,已經有越來越多公司揭露入侵事故了。有超過30%的S&P 500及20%其餘的Russell 3000公司在過去三年間有揭露入侵事故—無論重大與否。不過,大多數公司都沒有表示是否有入侵事故發生,有近56%的S&P 500及近70%其餘的Russell 3000,在2023年九月時對安全入侵事故沈默。當然,還不清楚揭露不足是否因為沒有入侵事故發生?但SEC的規範可能會帶來更完整及準確的揭露、提高公司之間的可比較性,並讓投資人評估入侵事故的範圍及影響。
在揭露資訊安全入侵的公司裡,事故成本與損害並不重大的數字,佔總體的比例越來越高。報告入侵成本及損害的公司數,過去三年的數字差不多一樣。然而,有更多公司會揭露說:入侵活動對公司沒有重大影響。在九月時,有報告事故的公司裡,近85%的S&P 500及近80%的其餘Russell 3000,都說事故不重大。
高階經理人薪酬
高階經理人薪酬迄今與資安準備之間的關聯性不高,因為企業通常是靠財務或其他策略目標評估與獎勵經理人績效。然而,僅少數公司會明確地將網路安全相關目標納入年度或長期激勵計畫。這包括了16家S&P 500與22家其餘的Russell 3000公司。這些網路安全指標,會以計分卡加權指標方式,或納入經理人的策略目標之內。
.JPG)
沒有留言:
張貼留言