Security Magazine 在2025年 10月 15日報導,近七成的資安長(CISOs)與資訊長(CIOs)表示曾被告知對安全事件保持沉默,此跡象顯示想要更高的透明度與聲譽風險管理之間的衝突有多麼頻繁。與此同時,僅64%的資安長說,董事會與他們對網路安全的看法契合,比去年的84%大幅下降。
這種脫節使得組織暴露一個事實―隨著網路風險愈發頻繁且成本昂貴,去年一整年全球平均每次資料外洩使得組織付出的成本超過400萬美元,網路安全事件的衝擊何等的大。
假設董事會貶抑資安長為不過是成本中心的防護者,僅僅從通過查核次數、修復漏洞,或防止事件發生來衡量績效,那麼他們便更不可能留意重大安全和治理、風險與遵循(GRC)的建議—這種立場為組織帶來重大且原本可避免的風險。舉一個例子:64% 的資安長說,曾因安全資金不足而被迫放棄支持一項業務提案,該資金削減導致資料外洩或其他事件。
為確保在董事會的影響力,資安長必須從防護者進化為通曉業務的促成者。此轉變始於以董事會理解的語言談話,將運作良好的安全與GRC計畫連結於成長的果效,並以明確、數據導向的見解來證明其價值。
為何與董事會的契合度正在下滑
董事會與資安長有一個共同目標:保護組織的未來。但他們對風險的假設、優先事項及定義則經常不同。
資安長有時只評估一件事:零資料外洩。不過,其他人或許會以營運結果來評量,諸如減少漏洞、通過查核次數,或將事件縮小到避免成為頭條新聞。因為資料外洩經常被攤開在公眾目光之下且損及聲譽,單一事件可能使得多年穩定的進展蒙上陰影,甚至對資安長能力與聲譽有直接衝擊。其他主管或許也會面對過於簡化的評分表,但是他們的受挫很少明顯地損害信任。這使得資安長在董事會的影響力異常脆弱,特別是當董事會可能聚焦於其他經營指標,比如新增及保留收益(retained revenue)以及公司財務數字。
此落差歸根結底在於語言。董事會通常將討論設定在收入和策略的風險,而資安長則傾向於用技術細節來談論安全和GRC風險、漏洞和控制措施。在這些觀點之間若無轉譯,彼此便難以契合並且侵蝕對安全領導階層的信心。
直到董事會與安全領導人對風險和優先事項達成明確的共同觀點以前,資安長係冒著失去在董事會發聲的風險,在此他們的發言權最具影響力。
資安長重獲董事會影響力的4個方法
Gartner預測到2026年以前,70%的董事會將至少納入一位具備網路安全專長的成員。雖然大多數董事會承認對網路風險缺乏更有力的掌握,從而無法做出明智的決策,只任命一位專家並不足以重建共識。
資安長必須抓緊時機改變認知並且將安全架構重新定義為成長動力。
1.用董事會理解的語言溝通
為獲得可信度,資安長必須圍繞著對經營的影響來構建安全討論:收入保護、交易速度、客戶留存,以及營運韌性。
例如,展示自動化的遵循報導如何減少採購延遲,或者精簡的信任證明文件如何加快交易週期。另一個關鍵指標直接來自安全和GRC投入隨時間經過所開啟及影響的收入。這些努力所帶來的時間價值可以在核心經營指標內量化,諸如透過安全和GRC團隊投入所影響的年度經常性收入(ARR)與淨收入留存率(NRR)。像這些例子會協助董事看到更堅定的安全態度所帶來的事業價值。
2.將信任量化
信任不再抽象。追蹤指標如完成安全問卷的時間、索取保密協議(NDA)的頻率,以及採購期間文件存取率。
當這些指標連結至銷售管道和交易資料有助於顯示牢靠的安全準備如何減少摩擦和加速銷售。
3.重構目標
查核與事件防範是基本要求。欲更進一步則可根據更快的交易週期、更高的客戶留存率或更便利的購買經驗來設定目標。此舉使得董事會清楚看到安全投資與經營成果之間的關聯。
4.保持一致性和透明的領導方式
董事會重視明確、定期的溝通。資安長以簡明的語言分享最新狀況並且對安全漏洞和近期缺失坦誠以告將逐漸地建立信任。
提供回應時間表和控制改善的信息會進一步展現當責性並且表現出安全性正受到有效管理。
信任是雙向的
雖然資安長可展現安全的經營價值,但他們無法獨力縮小落差。董事會必須趁早讓安全主管參與策略規劃,不只是在查核期間或事件發生後。
透過要求以信任為主的指標以及遵循的最新狀況,並為透明度創造空間―縱使此新聞令人不快―董事會可協助資安長從被動的回應者轉變為主動的成長夥伴。
董事會的席位還在。現在是資安長爭取及保有這個席位的時候了。
沒有留言:
張貼留言