這篇是由Millie Marshall Loughran所寫、Security Journal UK在2026年 1月 3日刊出的文章:How boards can close the cyber accountability gap。
根據華爾街日報,亞馬遜現在每天面對到超過7.5億次的網路攻擊。
但很多董事會仍視網路風險為可授權出去的技術問題,而非一個需自己負責的策略問題。
仍能維持韌性的公司是—董事會視網路為共同領導責任。
這需要改變思維,從監督為責任、從孤立的專業知識為集體合作。
董事會對網路安全之投入雖有改進,但仍有結構性的落差。
美國公司董事協會(National Association of Corporate Directors)說,77%的董事會現在會討論網路事件的財務後果。
然而,僅五分之一有專任的技術或網路委員會。
在很多組織,監督仍落在資訊科技或風險子委員會,讓整個董事會在資料外洩發生時資訊不足。
下一階段的治理演進需要讓網路安全與財務、ESG報導的頻率等同。
這包括定期更新、情境審視以及量化風險評估,以協助董事會如同其追蹤資本配置一樣追蹤暴險。
此目標不是讓每位董事都成為網路專家,而是確保每位董事有信心與背景做出明智的決定。
很多董事會傾向以再增加一位網路專家的方式處理挑戰。
雖然有價值,但這個方法還不足夠。
網路韌性仰賴於整個董事會能夠將技術風險與策略判斷連結起來。
精通於技術、創新及風險管理的通才型董事,比起說著少數人懂的技術詞彙此單一領域專家,能帶來更大的長期價值。
頗負經驗的董事長越來越想要的董事是—領導過數位轉型或能管理大規模技術營運。
這些董事瞭解如何將風險轉化危機會,並能在不忽視更廣泛的經營議題下挑戰假設。
建立此能力的廣度,可讓董事會將技術視為實現者,而非神秘的東西。
風險的範圍擴張到已超出內部系統了。
SecurityScorecard的2025年資料發現,去年有超過35%的資料外洩與第三方供應商有關。
複雜的數位生態系統意味,一個孱弱的供應商會破壞整個組織。
董事會現在必須以和財務審計同等嚴格的方式監督供應商。
這包括定期的風險評估、事件報導的合約義務,以及聯合模擬因應,以測試整個供應鏈的準備度。
這些行動會向監理機關、股東及客戶展現,董事會認識到他們在確保整個經營網路韌性上的角色。
董事長站在特殊位置上,將意識轉化為有效行動。
董事長越來越會引入情境式演練,以壓力測試因應策略和決策。
很多也會確保資安長能直接向董事會報告。
此明度會推動更快的升級報告,並進行資訊更充分的討論。
同樣的,董事長的定調會決定網路問題是以開放還是謹慎的態度對待。
當領導人鼓勵挑戰並承認不確定時,經營團隊就更可能及早提出風險問題並合作制定解決方案。
光有技術是不足以防禦演變中的威脅局勢。
有效的網路防衛不只是系統,更偏向是人員及文化。
能以身作則重視好奇心、透明以及問責性的董事會,會讓員工覺得被賦權報告異常狀況和提問的環境。
某些董事會現在會邀請資安長參加會議,這不只是向董事會作簡報,還有瞭解策略是如何建立的。
這會協助技術領導人將安全優先事項與經營成果一致。
建立整個組織的第一道防線,有賴於能認識問題、果決行動的領導人。
這個原則在公司最高層也一樣:網路素養始於董事會。
人工智慧、地緣政治與彼此連結的供應鏈,都會以前所未見的速度重新塑造風險局勢。
在此環境裡成功的公司,是那些將網路意識納入每個層級治理的董事會。
有效能的董事會會視網路風險為持續的策略討論,而非每季一次的更新報告而已。
他們會聘請能結合技術素養及商業判斷的董事。
他們會培養在威脅來臨前先學習、調適及因應的文化。
網路安全已成為領導能力的核心試題。
資料來源:https://securityjournaluk.com/boards-close-the-cyber-accountability-gap/
沒有留言:
張貼留言