(1)大多數非執行董事對網路投資信心不足
這篇是2025年11月25日在SC Media刊出的調查。根據研究與顧問公司Gartner所在11月24日公布的研究,有九成非執行董事對網路安全價值信心不足。
僅10%非執行董事表示,對網路安全投資或措施之價值信心充足,他們說在保護及成本之間有正確平衡。
關鍵是:在向董事會說明網路安全技術如何轉化為經營價值上,資安長必須做得更好才行。
Xcape的董事Damon Small說,這突顯了溝通有阻礙,並顯示資安長仍使用術語、而非業務語言溝通。非執行董事負責的是策略與監督,對網路安全需要的不是IT支出,而是實現風險管理和策略。
Keeper Security的共同創辦人與執行長Darren Guccione說,非執行董事想要的是,針對安全決定會如何影響到企業有明確的觀點。當對話充滿了技術性細節,他們就難以將風險和控制連結到組織營運及成長的能力。
Guccione說,資安長需要將網路安全連結到經營成果,因為董事會在意的是:解釋不同類型的攻擊會如何中斷營運、這些中斷在實務上會耗費多少成本,以及特定投資會如何減少暴險及影響。
Guccione說,當非執行董事可一如其他策略風險來評估網路安全時,討論就會更明確、信心就會上升。
Bugcrowd的策略與信任長Trey Ford說,資安長在向董事會簡報上存在挑戰,因為一年只有兩次、每次只有15分鐘。在會議裡,他們會簡報網路安全、風險權衡及遵循,同時就管理風險和處理未處置暴險及事故之間的緊張,提供最誠實的評估。
Ford說,在大多數狀況下,董事會每季有四至八小時繁瑣的會議,而執行長會在最後報告。此時他們已經精疲力盡,深入探討技術細節也通常不在他們的專業領域之內。但如果資安長可以跳出風險處置,將報告轉往價值創造、策略與競爭力差異化,並代表風險委員會報告風險權衡與投資決策時,狀況就會不一樣,如此會以董事會受託職責來重新校準這些決策。
資料來源:https://www.scworld.com/news/most-non-executive-directors-lack-confidence-in-cyber-investments
(2)VikingCloud:很多「重大」的網路安全入侵都沒有報告
*根據網路安全公司VikingCloud所做的調查,48%的網路安全主管過去一年沒有向其高階領導層或董事會報告「重大」網路安全事故。
*最主要原因有:40%害怕領導層及董事會的回應是處罰性的,而非建設性;有44%擔心,若事故公開會對財務或聲譽傷害,或者造成監理後果。
*要從培育問責文化、以及讓人員不會擔心因揭露而丟工作,尤其現在IT與科技領域要找新工作很不容易。
網路安全公司BreachRx的執行長Andy Lunsford說,VikingCloud的發現呼應了他們公司研究監理檔案和高階經理人行為所見到的。
「選擇不報告重大網路事故,或許聽起來是一種避免審查的方法,但實際上會造成反效果。縱使短期可以逃避,但是遲早要面對,而對相關人員而言結果會更嚴重。公司及整個經營團隊,會暴露到更大的責任上,包含個人責任。」
該研究是根據200位網路安全主管(及董事)的調查,受訪國家橫跨美國、英國與愛爾蘭。
資料來源:https://www.cybersecuritydive.com/news/material-cybersecurity-breaches-unreported/760892/
沒有留言:
張貼留言