(1)為何公司現在須優先重視資安長繼任計畫
這篇是John Smart所寫、2025年8月28日在Webpronews刊載的"Why Companies Must Prioritize CISO Succession Planning Now"。
在公司網路安全高風險的是界裡,資安長突然離職會讓組織暴露於擴大的威脅、監理審查,以及營運混亂。最近的事件,比如重大資料外洩餘波,突顯了糟糕的現實:許多公司對此重要職位缺乏健全的繼任計畫,通常難以在辭職或解職後填補此空缺。
此監督不只是人資問題,還是策略盲點—網路風險與企業各面向息息相關。根據最近CSO Online的文章,組織常視資安長職位是單獨的,未能培育內部人才或準備因筋疲力竭、高要求下不可避免的流動。
此危機源自於幾個彼此交織的因素。資安長通常是在巨大壓力下工作、面對變動中的威脅,像勒索軟體與AI帶動的攻擊,同時還要面對董事會對無缺點安全的期待。一份TechTarget的報告強調:資安長平均任期在縮短,有時僅剩兩年,但公司很少積極規劃這件事。
很多公司認為網路安全領導人只是技術性質,而非核心高階管理部門,作臨時性聘任,而非深思熟慮準備繼任人。IBM安全資源的見解強調,若少了整合性的繼任策略,企業風險知識落差在交接時可能會使資料外洩更嚴重。
現在外界越來越認為,董事會看待資安長職位必須和執行長繼任一樣有遠見。而資格不足的任命案(比如晉升先前沒有全職網路安全經驗者)若源自於魯莽的決定,會加劇危機。
為處理這個問題,專家倡議從內部人才發展開始。CSO Online的文章建議,及早找出高潛能的團隊成員,並透過指導、跨部門訓練以及接觸高階經理人決策來投資其成長。
除此之外,將繼任納入更廣的風險管理架構十分關鍵。Risk and Resilience Hub指出的最佳實務是—提出詳盡的交接劇本,包含臨時領導協議及知識傳遞會議,將顛覆降到最低。
前瞻性的組織現在會將資安長繼任納入董事會年度議程。這包括突然離職的情境規劃,並培育這樣一個文化--網路安全領導被視為一個管道,而非死胡同。
最終,解決資安長繼任危機需要這樣的改變:從被動聘僱到策略遠見。隨網路威脅持續演變,投資無縫交接的公司不只要保護其資產,也要建立長期的韌性而面對敵意升高的數位環境。
資料來源:https://www.webpronews.com/why-companies-must-prioritize-ciso-succession-planning-now/
(2)為何最聰明的董事會會將網路安全當成業務實現者
"Why The Smartest Boards Treat Cybersecurity As A Business Enabler"是由Avtar Sehmbi所寫、2025年8月29日在Forbes網站刊出的文章。以下分享一些項目。
在作者向經營團隊、董事會作建議的經驗裡,網路安全會在這五個關鍵領域提供可衡量的商業價值:
1.客戶信任:強大的安全會建立信任。在B2B與B2C的市場裡,它會加速轉換與支持長期關係。
2.營運韌性:預防、偵測及回應事件的能力,以保護業務延續性並支持監理遵循。
3.保護智慧財產權:保護專有的演算法、原始碼及產品設計,以保護利潤和競爭優勢。
4.資料貨幣化:安全地管理與分享資料的公司,會透過先進分析、個人化及第三方整合增加收益。
5.選擇伙伴:在平台模式和數位生態體系下,網路安全成熟度會決定誰會成為其他人的預設整合點。
對董事會和高階領導層,以下幾個優先事項現在會定義網路相關策略:
*讓網路投資與企業KPIs連結起來,不只是查核指標。
*將韌性視為生產準備、市場拓展的條件。
*將安全專業納入跨部門規劃及決定。
*維持董事會層級的監督與治理,將網路連結到企業風險。
「網路執行長」的概念現在變得重要。今日的財務和營運領導人不只要負責管理成本和遵循。越來越被期待要瞭解網路安全能帶動成長、顧客信任及長期企業價值。
網路安全現在是銷售對話、採購事宜、投資人揭露及平台路徑圖的一部份。若僅視其為成本中心,會錯失策略機會。
(3)資安長如何平衡風險、壓力及董事會期望
這篇是由Sinisa Markovic所寫、2025年8月28日在Help Net Security網站刊載的"How CISOs are balancing risk, pressure and board expectations",主要介紹Proofpoint的2025 Voice of the CISO報告。
資安長認為人的行為是最主要的破口。內部人的威脅、未注意所犯的錯誤,以及被盜的帳戶,都是資料外洩事件主因。幾乎所有組織都有某種形式的資料外洩預防技術,但是大多數還是會遭遇敏感資料外洩。
這些外洩主要原因還是來自人。員工濫用資料、不當處理憑證,或者透過AI推動平台外洩資訊,是引發大多數事件的原因。縱使很多資安長說,他們的員工瞭解安全最佳實務,但是訓練和內部人風險計畫還是不一致。此落差就讓很多組織暴露於風險。
最重大的發現之一就是:資安長與其董事會的一致性下滑。去年,有84%的資安長覺得董事會瞭解其對網路安全的看法,但這個數字在今年落到64%。
此下滑顯示,董事會層級的意識或許進展停滯。某些董事會可能感覺:資安長定期的報告現在比較不迫切。與此同時,少數資安長認為董事需要正式的網路安全專業知識。雖然這或許反映他們對轉譯複雜問題的能力更有信心,但也有風險—董事會在掌握網路風險上準備不足。
儘管有下滑,但資安長指出,董事會更注意攻擊對企業的影響。這對公司估值的影響,現在被視為最大的憂慮,顯示董事會開始將網路風險和財務成果連在一起。
資安長仍持續陷入高度緊張裡。三分之二的資安長說,對他們的期待太超過。很多感覺到,當事件發生時要承擔個人責任,但責任和可用資源之間並不匹配。筋疲力盡仍是一大問題,很多表示有高壓力、但組織支持有限。
某些組織正採取措施保護資安長,免負個人責任。約三分之二資安長表示,當外洩事件發生而招致法律或財務後果時,他們有安全措施。雖然這令人鼓舞,但是整個的感覺是:支持結構與此職位之需求並不一致。
有些人認為,未來資安長角色會分為幾個類型,一個是專注防禦與事件因應,而其他則專注治理和遵循。很多狀況下,責任範圍還會持續擴張。
資料來源:https://www.helpnetsecurity.com/2025/08/28/proofpoint-2025-voice-of-the-ciso-report/
(4)資安長角色的演變:從安全專家變成策略溝通者
這篇是Kirsti Hastings所寫、2025年9月12日於刊出的"The Evolving Role of the CISO: From Security Experts to Strategic Communicators"。
比起過去,資安長現在必須考慮:溝通是有效網路事件回應的關鍵要素。他們必須準備提供有信心、策略的溝通,以促進利害關係人信任與保護公司聲譽。
根據作者和多個產業資安長合作、協助管理他們回應網路事件溝通的經驗,以下有四個關鍵考慮,有助於確保更佳的成果:
*確保公司有網路安全溝通計畫,並緊密地整合進事件因應計畫
這會協助資安長與整個事件因應團隊,以更整合與有效的方式運作,特別是要定義好:
*關鍵角色與責任,包括授權誰核准溝通
*若內部系統停擺要如何溝通,以及若接觸不到關鍵領導人時誰來替代
*關係追蹤機制,其指定發言人負責,讓聽眾可以與他們溝通
*有哪些平台/管道可向內外部聽眾表達,並可針對現實世界快速制定、在事件發生時分享的溝通範本
*以網路安全模擬運作來測試溝通計畫
與管理階層(包括執行長、法務團隊、IT與人資)一起執行模擬情境,有助於辨識任何落差,並卻計畫在持續變動的眾多事件中能支援資安長。
*參與溝通、媒體及報告訓練
瞭解如何管理董事會、客戶、投資人、媒體或其他利害關係人有挑戰性的問題;以清楚的話語陳述複雜的主題;以及平衡透明與保密,這些對資安長而言都是重要技能。
訓練不只能支持這些需求而已,還能協助資安長對利害關係人進行比對、瞭解其優先順序,以及以有共鳴的方式和他們談話,所有這些在危機時都是十分重要的。
訓練也會保護股東信任,並減緩潛在風險,比如對客戶提供太細節的內容,或者在媒體上的訊息彼此衝突。資安長應該就新威脅、管道和期望之出現,尋求定期更新。
*與溝通的對方建立強健的關係
溝通已成為資安長角色的重要部分,也是網路安全會傷害或協助聲譽的決定性要素,某些狀況下,甚至比事件本身更重要。
最重要的事情很清楚的是:組織與資安長都不能等—強化溝通能力必須要從今天開始,才能確保有韌性面對明日的危機。
資料來源:https://www.infosecurity-magazine.com/opinions/evolving-ciso-security-experts/
沒有留言:
張貼留言