資安長、董事會與資訊長：不是跳探戈，而是拳賽-2025/09/02

這篇"CISOs, Boards, CIOs: Not dancing Tango. But Boxing."是由Pratima H所寫、2025年7月31日在Data Quest網站刊出的訪談文章。以下分享一些內容。

最近研究顯示，雖然資安長會注意風險、遵循和威脅，但董事會看的還是網路素養、停機時間及經營指標。52%資安長優先重視新技術之創新；按僅33%董事視其為優先。當資安長定位網路安全為業務延續、股東價值為重要因素時，董事會才會更重視，但資安長還是無法熟練這些語言。有28％的資安長受到壓力而不揭露遵循問題。印度Splunk的區域副總Prashant Chaudhary透過更精細的分析，來探討這些發現。

問：Splunk的2025年資安長報告，看到了哪些資安長與董事會之間的不一致？

雖然有82%資安長現在說可直接向執行長報告(2023年時是47％)，但董事會還是不知道他們的效力。只有8％董事認為資安長超出期待，但84％承認他們有達到期待。資安長高估了核心責任的一致性，像預算和策略網路安全目標，而董事會要求與經營結果之間有更明確的連結。

另外一個緊張就是遵循與風險。董事會偏向視監理遵循為資安長績效的重要指標，而相對於安全局勢和風險減緩，大多數安全主管則視其為低度影響。這個不一致在亞太區特別強烈，28％的資安長覺得受到壓力不揭露遵循問題—是受調查區域裡最高的。

問：有什麼領域是一致的？

資安長與董事會都同意：保護敏感資料的重要性，並認知到AI的潛力但也要加以注意。他們都擔心，AI在帶來更複雜攻擊上的角色，但也對用AI偵測威脅和自動會保持樂觀。

問：在有80％資安長與執行長互動議合下，在投資、注意力和策略價值上，安全有什麼轉變？

報告顯示，加強互動有助於縮短資安長和董事會之間在安全優先事項上的落差。值得注意的是，70％的董事會、68％的資安長現在同意，保護敏感公司資訊很重要。

這意味安全越來越被視為數位信任、營運韌性和股東價值的推動力。董事會期待資安長在營收保護、瞭解風險下的創新，能扮演關鍵角色，尤其是像金融服務業，網路風險會直接影響客戶信任和市場聲譽。直接接觸到執行長，會讓網路安全成為企業策略、投資與成長之核心。

問：資安長-長字輩主管-董事會關係很大程度上會影響到預算嗎？如何影響？

僅29％的資安長相信，他們有收到充足的網路安全資金，但41％董事認為預算夠。這個差異就會影響安全成果，52%資安長會因預算吃緊而延後關鍵更新報告，這些組織裡有62％之後會遇到資料外洩。

問：有什麼縮短落差的方法？

溝通方式會大幅影響到爭取預算成敗。雖然大多數董事會發現，「安全是業務實現者」理由最能讓預算增加，但不到一半資安長以這種方式說服。

因此，要向董事會報告的資安長，需強調投資報酬率、業務成長影響，以及將停機成本量化—確保爭取更多預算。此溝通技巧變得越來越重要，因為網路安全對核心經營成果影響越來越大，而董事會優先重視可展現具體業務價值的投資，並非只有技術安全能力。

問：遵循報告何時會到吹哨人那？資安長會重視此報告嗎？為何只有15％資安長視其為最重要的績效指標，而董事會卻是45％？

這的確是一個糟糕的現實—遵循報告往往到不了吹哨人那。21％資安長承認，他們受到壓力別報告遵循問題。令人訝異的是，大多數資安長說，若組織忽視遵循要求，他們就會當吹哨人，突顯當規定越來越嚴格、報告窗口越來越窄時所肩負的個人責任。

資安長與董事會在看待遵循指標上的落差（15％：45％），反映了看待安全的基本差異。雖然董事會視遵循是具體、可衡量的風險減緩策略及治理架構，資安長視其僅為真正安全的起點。

問：為何僅8％董事會成員感覺資安長超出期待？這裡有什麼落差或衝突？

根本的不一致源自於：成功如何定義與衡量。

核心的差異在於：兩方對於責任和成功的重視程度。58％資安長會花更多時間到技術安全營運—選擇、安裝、運作技術，而52％董事會相信資安長應首重推動業務、讓安全和經營目標一致。這會引發其落差，特別是關於業務影響。

為了縮短此落差，資安長需要跳出技術領域，進入營運領導。董事會要資安長發展業務敏銳度，而資安長比較在意的是技術合作。組織若有最強的資安長-董事會關係，會展現出：當資安長接納業務導向的觀點時，他們會成為策略伙伴，而非技術專家。

問：如何解釋兩方衡量安全投資的ROI之差異：42％的資安長、54％的董事會？當以預防為關鍵指標、以及當安全拖慢事務發展並增加摩擦時，資安長可如何量化安全風險與ROI？

這個不一致來自於看待價值的根本差異。董事會主要會透過財務指標和業務成果看安全，資安長傾向透過營運指標（像事件影響、安全里程碑達成）衡量成功。當要驗證投資是否合理時，這就會造成巨大的溝通落差，並成為加速和創新之阻礙。

成功的執行長會學的將安全價值轉化為董事會語言。當報告預算要求時，64％的董事會認為，定位安全為業務實現者是最有說服力的，但僅43％安全長會這麼做。資安長改變報告方式—將預防措施轉化為具體的企業語言，才是機會所在。有強健董事會關係的資安長裡，53％可為安全措施制定有效的計畫（無此關係的僅37％），很大是因為他們能將以企業語言來陳述安全。

問：關於資安長和資訊長，有哪些衝突領域是需注意的？

資安長與資訊長的領導力動態，或許會有很大的摩擦，縱使他們的共同目標是保衛數位基礎設施及實現成長。緊張的關鍵原因包括在複雜環境中資料的蔓延、預算和責任的各自為政，以及快速變化的威脅局勢。

資安長通常對於他們要確保安全的基礎設施，是沒有控制力的，而資訊長被期待在有限預算下推動創新。這就會造成優先順序的不一致。資安長尋求韌性與減少風險，但資訊長則被鼓勵要帶動績效和加速。

資料來源：https://www.dqindia.com/interview/cisos-boards-cios-not-dancing-tango-but-boxing-9610624