(1)協助資安長用企業語言表達
這篇"Cracking the Boardroom Code: Helping CISOs Speak the Language of Business"是由Tobi Traebing所寫、2025年10月6日在The Hacker News刊出的文章。
董事會想要聽到風險會如何影響到營收、治理、與成長。他們對於漏洞列表、技術細節興趣不高。如果落入技術問題,則迫切的措施會讓人失去耐心,得不到資金。
資安長需要將技術問題轉化為董事會懂的詞彙。如此才會建立信任、獲得支持並顯示出安全決定與長期成長有直接關係。因此縮短資安長與董事會的溝通落差十分迫切。
以下是作者點出的幾個要注意的領域:
*董事會對風險的看法:董事所關注的對象,以及如何將安全打造為安全創新、競爭優勢的實現者。
*明確的風險溝通:跳脫華而不實指標,建立儀表板—將技術發現透過對業務影響的方式報告風險。
*報告有高度影響的事宜:提出簡潔、有效的董事會報告、開會前先與關鍵經理人協調一致,有信心處理艱困的問題。
*更強健的企業案例:將安全需求轉化為財務和策略語言。建立關於減緩風險價值、整體負擔成本及符合公司目標的要求。
*將CTEM操作化:應用Continuous Threat Exposure Management的五個步驟,來強化安全態勢並以前瞻性方式架構報導。
資料來源:https://thehackernews.com/expert-insights/2025/10/cracking-boardroom-code-helping-cisos.html
(2)網路安全不再只是IT問題,而是企業最重要事項
這篇是由Senthil Muthu所寫、2025年10月3日在Forbes網站刊出的文章"Cybersecurity Is No Longer Just An IT Problem—It’s A Business Imperative"。以下分享一些他的經驗分享。
過去25年來,作者一直掌握著IT和網路安全的發展趨勢,擔任過的職位從網路安全建築師,到總顧問、資安長,都是直接向董事會、審計委員會報告的。作者整個職涯裡,這個現實永遠顛撲不破:網路安全從來不是IT問題。它是策略槓桿,與組織成長、聲譽以及長期營運成功密切相關。
過去數十年,網路安全一直被視為是工具,比如防火牆、反病毒、軟體或偵測入侵的系統。但是光這些事項無法再掌握挑戰。真正重要的是:公司是否將網路安全視為策略實現者、而非成本中心。
真相是:公司將網路安全納入其營運策略的話,更可能會獲得信任、韌性,以及競爭優勢。他們不會有破壞客戶信任、監理罰款和營運倒閉的風險。
換言之,網路安全可不只是資安長的工作,而是董事會層級的責任。執行長必須將之倡導為企業文化的一部份,而財務長也必須將之視為財務風險予以評估。此外,營運長必須將之整合進營運延續事項裡,而董事會必須視之為與財務報導、遵循一樣的嚴謹。
作者看過成功的公司,是那些將網路韌性納入決策的,而非事後才想。
在作者擔任資安長、網路安全顧問時,是直接向董事會與審計委員會報告的。這些經驗顯示,從營運角度看網路的組織,表現通常會比未如此看的好。
健全的網路安全計畫,會透過下述事項與組織成長結合起來:
*實現信任導向的顧客議合
*支持考慮到風險的投資決策
*強化監理與遵循局勢
*在營運及聲譽風險擴大前減緩
網路安全主管,必須以業務語言溝通風險,並將技術措施連結到財務影響、市場信心以及長期組織目標。
與其將網路安全視為靜態的確認表,反而要採用動態的策略模型—持續評估風險、與營運目標連結,並對網路安全投資提供可衡量的ROI。此轉變有助於將網路安全從防禦措施轉型為策略優勢。
最有效的網路安全策略,會有一個共通的特徵:都由最高層領導,並貫徹到整個組織裡。董事會與高階經營團隊會負責將網路風險培養成一個跨部門、跨地區的韌性文化。最終,網路安全是公司治理不可或缺的一部分,而非只是後台的技術問題。
對於在意改善其網路安全措施的領導人,作者建議:
*將網路安全升級為董事會議程—使之成為核心的經營討論
*讓安全策略和營運目標、聲譽及成長一致
*投資文化、治理與領導,而非只是技術
*利用創新的安全模型,領先不斷演進的威脅
沒有留言:
張貼留言