【資安長&董事會】(1)資安長在對抗網路威脅上角色的轉變；(2)約40％的中小公司資安長難以接觸到董事會；(3)為何網路安全應該是每家公司董事會層級的優先事項-2025/09/02

(1)資安長在對抗網路威脅上角色的轉變

這篇"Evolving Role: Chief Information Security Officers in Combating Cyber Threats"是Web Desk所寫、2025年7月24日在Lead Pakistan網站刊出的文章。其中應該有引用Forbes這篇"The Evolving Role Of The CISO"。

https://www.forbes.com/sites/tonybradley/2025/01/14/the-evolving-role-of-the-ciso/  

https://worldofcg2023.blogspot.com/2025/02/20250227.html

以下分享一些內容。

資安長責任大幅擴張，遠超過傳統網路安全功能。現代資安長越來越要參與更多領域，比如企業風險管理、IT監督及數位轉型措施。這個範圍擴張突顯了，外界瞭解到網路安全基本上連結到全面的企業策略與成功。當組織日益仰賴技術推升成長與營收，資安長角色已從技術守門人轉型為策略領導人—確保企業可自信地擁抱新技術，而不破壞安全或穩定性。此演變需要廣泛的技術專長、策略規劃及強大的領導技能。資安長被期待要主動辨識和減緩風險，而非只是因應安全事件而已。他們也必須將安全策略整合進全企業風險管理架構，確保更正確、明確的決定。

Forbes根據組織影響力、接觸高階主管程度，將資安長分為以下三種類型：

*策略性資安長：這些主管能接觸到長字輩主管，而且對董事會有影響力，他們被定位為關鍵策略伙伴。通常有較高的薪酬及工作滿意度。

*功能性資安長：雖然也很能夠接觸到高階經理人或董事會議合，但或許在兩方都缺乏能見度，限制了他們的整體影響力。

*戰術性資安長：這些資安長典型上被視為技術從業者，在接觸高階領導層、董事會有很大阻礙，大幅限制其整體影響力。

資安長角色出現在1990年代中期，當是經歷過重大轉型：從僅是技術性職位進化為策略領導職位。今日，資安長被期待要具備廣泛的技術專長、經營敏銳度，以及溝通技能，有效管理網路安全計畫，並將之連結到組織目標。他們的責任典型上包含：發展和落實安全策略、管理安全營運，以及確保遵循規範、法律要求及國際標準。

資安長要關注的關鍵趨勢有：

*採用人工智慧與機器學習：AI與ML對於更快速偵測、因應網路威脅變得很重要，因為攻擊者也會運用這些工具

*零信任結構：「絕不信任、持續驗證」原則正獲得動能，因為網路攻擊數增加

*監理變動及遵循：資安長必須持續瞭解新規定與遵循標準，確保其組織仍一致且安全

*人才短缺及技能發展：解決網路安全人才落差，需要資安長聚焦於其團隊的持續學習、專業技能發展

*網路韌性與安全因應：建立高韌性安全系統，並強化事件因應能力，對持續複雜化的攻擊很重要

*將安全棧與以人為中心的網路安全相整合：現代安全解決方案需要將技術與人因結合，認識到人是網路安全鏈裡最弱的環節

資安長的報告結構，是最常見的爭執點之一。資安長報告線會明顯影響到其在組織內的權力、影響及效能。傳統上，資安長通常會向資訊長、技術長報告，將之納入IT部門內。雖然這個結構可促進技術上的一致性，但也可能造成利益衝突，因為資訊長主要焦點是—讓企業運作和創新，有時候會與嚴格的安全要求相衝突。

現在越來越明顯的趨勢（特別是在金融業）是，資安長直接向執行長或董事報告。 Heidrick & Struggles的2024 Global CISO Survey指出，14％的資安長會直接向執行長報告，較2023年的5％增加不少。此轉變顯示認識到網路安全是全企業的風險，需要直接從最高領導層監督。當資安長直接向執行長或董事會報告，就會獲得更大的獨立性、能見度與權力，將網路安全整合進決策流程，確保安全不是事後，而是企業策略的基本要素。

其他的報告結構還有，向副執行長、營運長或風險長報告。理想的報告結構通常要看組織規模、複雜性、風險胃納及監理環境而定。不管是否是直接的報告線，重要的是資安長對高階經理人與董事會有直接接觸管道和強健的關係，以便有效溝通網路風險、倡導必要的資源與措施。

資料來源：https://leadpakistan.com.pk/news/evolving-role-chief-information-security-officers-in-combating-cyber-threats/ 

(2)約40％的中小公司資安長難以接觸到董事會

這是2025年6月24日IT BREW刊載、Billy Hurley所寫的"Report: 40% of small and midmarket CISOs lack boardroom access"。

根據最近由IANS研究集團的調查，40％受訪的中小公司安全主管說，幾乎或完全沒有接觸過董事會。約20％說，他們至少會每半年與董事會會面一次，40％是每季一次。

IANS資深研究總監Nick Kakolowski說，互動不足會對組織造成風險，因為這是一個指標：企業不夠瞭解網路安全對其整體組織風險的影響，認為網路就是一件孤立的事。

Michael Welch是OSI Group（食物供應商，有超過2萬名員工、65個全球設施）的資安長，花了11個月才進入董事會。在2018年，他的角色是新的，而先前是資訊長負責與董事會報告安全相關事宜。在他的第一年裡是去瞭解高階領導團隊、也讓他們瞭解他的經驗。

在第一場會議裡，他記得以一個簡單的事實讓自己和領導人連結起來：食物製造商抵擋不住網路攻擊。他很快就獲得邀請參加每季會議。

VikingCloud對208個北美中小企業調查，在2025年三月發佈，其發現有三分之一的中小企業在前一年遇過網路攻擊。近三分之一(32％)說營業損失或未預料到的支出高達1萬美元。

IANS Research的2025年報告則發現，53％的大公司資安長會至少每季都與整個董事會會面一次。

IBM年報顯示，全球資料外洩成本，在2024年已達到488萬美元。

對於受拒的資安長，Kakolowski建議與其他高階經理人建立關係、參加跨部門計畫（比如AI指導委員會）。

Kakolowski說，「可以從展現價值、展現你可貢獻開始，讓其他高階經理人說，我們需要這個人進董事會談相關事宜，因為他知道事情的發展。」

Welch說他當時與OSI的財務長有堅實的關係，經常討論未來的預算。找到「企業裡正確的倡議者」可協助進入董事會。

「你真的要持續表達，若公司持續拒絕，那就該決定—這是對的地方嗎？因為最終，某些組織的資安長是負責保護而已。」

資料來源：https://www.itbrew.com/stories/2025/06/23/report-40-of-small-and-midmarket-cisos-lack-boardroom-access 

(3)為何網路安全應該是每家公司董事會層級的優先事項

這篇是訪問Serhii Mikhalap的文章"Why Cybersecurity Should Be a Board-Level Priority in Every Company – Perspective from Serhii Mikhalap"，由Owais Sultan所寫、2025年8月2日在Hack Read刊出。

Serhii Mikhalap是網路安全專家，職涯起點是2016年在烏克蘭國家安全營運中心(SOC)擔任分析師。其任務是負責反政府和私人基礎設施的先進持續性威脅，他十分瞭解威脅者會如何行動。

到2020年時，他轉往商業部門，一開始是擔任事件因應者，之後在全球網路安全供應商領導SOC團隊。他的工作涉及從頭開始建立兩個SOC團隊、整合自動化、建立腳本以及全天候監控。

Mikhalap說，讓網路安全進入董事會議程不是選項，而是必須。「董事會要監督策略風險。在2025年，網路風險就是策略風險。」

但很多董事會缺乏專長瞭解技術漏洞，更別說讓安全連結到營運目標。這會造成危險的漏洞。

他警告：最高領導層缺乏網路素養會引發預算配置失當、因應計畫準備不足，以及過度依賴供應商。網路安全需要比照財務或法務對待，這個領域自有其指標、語言和責任。

他倡議資安長或外部專家要定期作董事會層級的簡報，聚焦於：

*遵循義務

*事件因應準備

*韌性的投資優先事項

*當前威脅局勢與趨勢

*企業關鍵資產和其暴險

Mikhalap 強調，董事會參與應該與文化變遷並進。安全問題若孤立則不會成功。

「我們需要打破網路安全是IT問題的迷思。每個人都有責任。從人資、財務、到生產團隊，每個部門都需要瞭解其在管理網路風險上的角色。」

Mikhalap強調，前瞻性董事會會採行的一些實務有：

*將網路風險視為企業風險管理的一部份：將安全整合進更廣的風險儀表板

*董事會教育：為新成員舉辦工作坊或就任講習

*獨立評估：聘第三方專家作成熟度審視

*場景規劃：為高階管理團隊、董事執行桌上演習

*預算一致性：確保安全投資符合公司數位足跡和威脅暴露

他指出，董事會不需要當網路安全專家。但必須問出正確問題，並期待明確、可行的答案。

展望2025年之後，Mikhalap認為公司將網路策略整合進長期規劃的迫切性會越來越高。當勒索軟體、AI攻擊及供應鏈入侵規模和複雜性日升，他認為董事會的優先事項必須依此調整。

資料來源：https://hackread.com/cybersecurity-priority-company-perspective-serhii-mikhalap/