【財務長與網路安全】(1)財務長對網路安全的四個角色；(2)為何財務長-資安長關係對減少網路風險很重要-2025/12/11

(1)財務長對網路安全的四個角色

財務長的角色正在轉變、跨領域，在永續方面他們要協助報導標準建立；在資安、網路方面，這一篇提出了四個角色，除了財務方面以外，財務長因為長期面對法遵事項，故也會對資安長產生助益，另外就是在公司內部風行草偃的作用了。以下對Cameron Over所著的這一篇文章“Four Cybersecurity Roles for CFOs“，摘要一些我覺得重要的部分。

角色1：深思熟慮的風險負責人

財務長工作本身就包括網路風險。財務團隊要負責處理公司最敏感、最有價值及貴重的資料(財務報表、策略與併購計畫)。這些事宜若有所差錯，對企業的衝擊就會很大。因此，財務長需要瞭解「最關鍵」(crown jewels)的風險。而且一定要問的問題是：若網路攻擊者入侵重要資產時，會有什麼連鎖效應？

雖然資安長團隊負責科技方面的防衛，但財務長要負責這些防衛能與組織的財務風險胃納一致。財務長就是實現網路安全的一環。

角色2：預算方面當個懷疑冠軍者

懷疑冠軍者(Champion-skeptic)聽起來矛盾。網路安全領導人通常要爭取預算，以簡單的企業語言證實支出是合理的。而支持網路安全(冠軍)投資這個思維的起點，就是問資安長「我們還可以做什麼，提供你的計畫資源？」長期下來，財務長投資網路需求時以嚴謹、清楚和簡單的方式處理安全預算要求，將會極大化安全團隊和同仁的可信度及影響。

角色3：監理大師

網路安全規範五花八門。大公司要花數千萬美元達成一堆監理要求，而且看來沒完。財務長的工作常與監理機關有關(特別是像證管會)。許多財務長整個職涯，都在學著怎麼確保公司符合規範、避免不幸；大多數資安長不知道如何面對這件事，需要協助以確保其計畫能以清楚、可追蹤的方式達到監理要求。財務長可協助「提升」安全領導人的技能，最終協助公司遠離監理困境。

角色4：經理人的典範豎立者

財務長對組織有巨大的影響。組織會在意的是高階經理人注意什麼。當財務長重視網路安全並明確表態：網路安全就是公司的重要事項時，營運單位領導人、區域主管，甚至一般員工就會重視。

不過，財務長若實際上不精通網路的話，就無法作為典範豎立者。一旦財務長在深思熟慮下承擔網路風險，降低風險和網路監理遵循壕溝戰中同時能輕鬆討論預算需求，那就具備專業，並在從事公司網路事宜上會得心應手。

資料來源：https://www.infosecurity-magazine.com/opinions/four-cyber-roles-cfo/

(2)為何財務長-資安長關係對減少網路風險很重要

這篇是Sam Birchall所寫、2024年9月2日在Raconteur刊出的"Why the CFO-CISO relationship is key to mitigating cyber risk"。

財務長與資安長未必彼此一致。財務長是要管理成本與獲利，資安長則要負責數位安全與基礎設施。

兩個角色缺乏瞭解，就是摩擦的來源。FTI consulting 調查發現，有三分之二(66%)的財務長不完全知道資安長在幹嘛，難以看到投資網路的具體回報。

資安公司Quod Orbis的執行長Martin Greenfield「不協調一直存在。這個不一致常是因為兩者間缺乏共通語言及瞭解。」

目前的狀況是需要合作。根據IBM與Ponemon Institute最新的報告，網路攻擊越來越精密，而且全球因資料外洩引發的平均支出，已達488萬美元。

縮短資安長與財務長之間的代溝，對組織有效減少網路風險而言，十分重要。

雖然網路安全沒不是財務長傳統的職權範圍，但他們專長於風險管理。這會讓他們自然成為資安長的盟友—資安長要負責確保減少網路風險。

在董事會層級有共同的訊息，是確保網路措施被採納的唯一方法。財務長在決定組織風險容忍度上，站在很獨特的位置上。他們關注監理環境、組織吸收損失的財務能力、他們的策略目標及市場條件，以判斷可接受風險水準。

Fastly的財務長Ron Kisling說，安全風險不是只屬於某個部門的，也不應該只是資安長要負責。「今日世界的有效安全不僅是生產與工程；也我們所合作的人員、我們所選擇的伙伴，以及使用的工具。資源計畫流程、採購以及與第三方合作—所有基本上都是由財務長監督的，但必須讓資安長參與，以確保企業之安全。」

若財務與資訊科技部門彼此孤立，就會造成無法合作、無法盡可能善用彼此的專長與見解。

財務長對於前要怎麼用，有巨大的影響力，而這需要資安長明確的意見，以掌握網路安全之複雜性和精細度。網路安全不僅是提高對工具、技能與政策支出的問題而已。

一如O’Connor所指出的：「認為越安全越好，是錯誤的觀念。其實安全總是需要在成本、可用性、敏捷性之間取得平衡。資安長的目標就是，找到正確的安全，這對每個組織而言都不一樣。」

財務長建立財務模型的技能，以及資安長的安全專長，代表他們應該要對於可接受的範圍和假設達成共識。

財務長與資安長有共同目標—管理風險。但為了更好地合作，他們需要學著說共通的語言。

Greenfield說，資安長需要站在企業決定和影響上談網路安全。「這代表不能以技術詞彙溝通他們的預算需求，而是要以風險的詞彙，比如保護品牌或保護股價。」

財務長習慣從成本效益角度看企業案例，他們需要瞭解，雖然或許知道安全措施之成本，但預防資料外洩之風險與影響或許非常難以估算。

數位諮詢公司Emergn的財務長Anjana Mistry相信，財務長有責任聆聽資安長的關切之處。「有時候需要一些人味—財務長需要認識到，會計人員不是資訊科技專家。他們需要聆聽資安長所言，並試圖瞭解他們的工作流程、參與其中。」

建立共同語言及瞭解網路安全的一個方法，就是進行聯合風險評估，讓風險投資與企業優先事項一致。這或許可納入展現安全投資報酬率的指標。合作性報導及聯合的網路安全進修會議，也是這些職位之間持續溝通的好基礎。

確保定期舉辦會議很重要。資安長與財務長不只是在緊急時刻、或要額外預算時才開會。

O’Connor解釋說：「資安長責任是，對其營運所處之局勢有前瞻性觀點。一直會有前所未見的事件，需要採取緊急行動，但資安長知道要在哪採取行動，他們應該在預算目的上盡可能通知財務長。」

有鑑於網路安全領域新規定及漏洞出現的步調，Greenfield相信，財務長和資安長之間的接觸頻率需要大幅提高。「這兩個職位很少面對面，除非有緊急問題發生。」

他建議，至少應該每個月會面個15至20分鐘。更定期地彼此互動，縱使只有一點點時間，也能夠協助長期建立信任以及熟悉感。

資料來源：https://www.raconteur.net/finance/cfo-ciso-relationship