這是由Dave DeWalt所寫的"Cyber Risk is Rising; Expertise in the Boardroom Should Follow",於2023年10月27日刊載於nasdaq網站。以下分享一些觀點內容。
最近NightDragon與Diligent Institute針對S&P 500董事會成員所做的研究顯示,有88%的公司沒有具網路安全經驗的董事,僅1.4%有請資安長、或前資安長擔任董事。此外,有7%缺乏其他科技領域的類似經驗。
雖然讓每個董事會都有網路安全專家,可能是一件不切實際的事,但組織還是可以採取一些立即性的措施,以提升他們的網路安全意識,而有越來越多的董事會想要加入具網路專長者,或對現有成員增加教育。
這包括以下幾個考量:
1.讓教育成為優先事項
公司可協助他們的董事會在風險方面做出明智的決定,方法是透過教育現有董事會成員當前的威脅局勢、以及新的科技範疇。某些資安長會每季舉行一次午餐會,詳細探討不同的網路主題。讓董事會能瞭解網路計畫,也是一個不錯的作法。
2.定期向董事會報告
確保你的資安長或安全團隊領導人能定期(每季、或更頻繁)向董事會報告企業狀況,以及減緩風險的措施,包括概述公司目前的風險狀況及最終會影響組織之近期威脅的看法。
3.整合到公司策略內
雖然網路安全應納入公司定期報告流程,但董事會也應考慮,如何持續而緊密地納入公司策略的每個環節內。
4.實作
雖然我們都希望最好,但也應該為最糟做好準備。董事會對於網路事故之發生,應考慮與準備相關步驟。這包括模擬演練如何回應事故,一如消防演習。
5.直接讓網路專家進入董事會
雖然教育可協助縮短網路安全的落差,但企業也可考慮,是否讓資安長直接進入董事會更能滿足此需求。有很多前資安長、前主管或現任資安長,現在都想當董事、或為董事提供建議。
若董事會沒有認真看待網路攻擊的威脅,就會有無法達成對股東責任的風險。一個具產業專業及受過教育的董事會,對於詮釋網路安全狀態、站在推動公司長期成功角度來引導未來策略,會產生重大影響。
網路安全方面的教育會越來越重要,因為像AI這些科技正在出現。AI與其他持續發展的科技進步,會進一步擴大網路事故的力量、強度與持續的影響。
資料來源:https://www.nasdaq.com/articles/cyber-risk-is-rising-expertise-in-the-boardroom-should-follow
沒有留言:
張貼留言