這一篇是由Lucia Milică與Keri Pearlson寫、2023年5月2日刊載於Harvard Business Review的文章"Boards Are Having the Wrong Conversations About Cybersecurity"。對於資安長與董事會之間的討論,從董事會角度看常見哪些錯誤或需求,會更有利於資安政策、資安長優先性的提高。以下分享一些要點。
董事會很難對網路安全進行監督,而這就是組織安全上的問題。縱使董事會說他們有把網路安全視為優先事項,但要協助公司面對網路攻擊時更有韌性,還有很長的路要走。要是董事會忽視韌性,公司就會失敗。
作者調查了600位董事會成員看待網路安全的態度及活動後發現:儘管投入了時間與金錢,但多數董事(65%)仍相信組織在未來12個月裡會有重大網路攻擊的風險,近半相信他們對於鎖定性攻擊還沒準備好。不幸的是,網路風險意識的成長並未帶動更好的準備。而這篇文章就是要探討:公司能如何開始發展更佳網路安全意識的的幾種方法。
僅69%的受訪董事會與他們的資安長當面討論。不到一半(47%)的董事有與資安長定期互動,近三分之一只會在董事會上聽資安長報告。這意味:董事及安全領導人對於網路安全優先性及策略的對話,投入的時間非常不足。此外,作者的研究發現,雖然65%的董事認為他們的組織有受到重大網路攻擊的風險,不過僅48%的資安長如此認為。此顯示了:在董事會和資安長之間的溝通落差與不一致,會阻礙網路安全的進展。
研究也顯示,資安長與董事會的不一致,又會因為彼此在個人層級的不熟悉而加劇(沒有花足夠時間彼此瞭解對方的態度和優先事項),而且引發此落差的原因是,資安長難以將術語轉化為企業語言,比如風險、名譽與韌性。
關於高度風險方面,研究顯示,76%的董事會成員相信他們對網路保護有足夠的投資,此外,87%預期未來12個月的網路安全預算會增加。
然而,他們的投資未必會投到正確的領域。在典型的董事會會議裡,網路安全報告通常是針對威脅、以及公司正在實施的保護行動/技術。但對董事監督而言是錯誤的觀點。不管投入多少錢到技術或計畫要阻止網路攻擊,其實保護永遠都不會完全。
相對地,討論需要關注於韌性。我們必須假定:我們就是會遇到某類的網路攻擊,並如何以最低的損害、費用與名譽衝擊讓組織能回應與復原。比如,與其在董事會上詳細討論組織如何回應事故,反而要注意最大的風險可能是什麼,以及,如果遇到這種狀況,我們對於從損害中快速復原可做什麼準備。
為了將我們的焦點轉向韌性、並成為網路安全最主要的目標,董事可要求營運主管擬定這樣的一個願景—當攻擊發生時,公司會如何回應與復原。將網路攻擊的成功率降到最低,應該是第二優先目標。
僅67%的董事相信,人為錯誤是他們最大的網路弱點,不過World Economic Forum指出,人為錯誤佔網路安全事故的95%。這或許是一個指標:某些董事會並沒有看到他們所面對到的組織風險。此外,半數受訪者認為資安長的網路安全專長最重要,其次是技術專長(44%)與風險管理(38%)。這顯示了縱使董事會會把網路安全列入議程,但仍視其為技術問題。
當董事會將之視為技術問題時,這個主題就會落入營運細節而不被重視。董事會的時間有限,難以適當監督所有細節。董事或許怕提出棘手的問題,因為他們對技術概念沒有足夠的知識以適當陳述問題、甚至不瞭解答案。把網路安全視為組織問題,才能將討論從技術轉變為管理。當網路安全被視為最優先的組織策略時,對董事會討論而言才會重要。
董事會應該問的問題如:「我們公司在潛在網路安全事故上有什麼樣的科技風險?」「我們公司做了什麼來減輕這些風險帶來的任何損害?」「潛在網路事故會帶來什麼樣的組織風險,以及,我們做了什麼可從這些結果中快速復原?」「潛在網路安全事故會有什麼供應鏈風險,以及我們可做什麼來避免損失一日產能?」
作者的研究發現,近四分之一的董事會不認為網路安全是優先事項,許多董事會甚至不會定期討論這個問題。某些董事會僅一年做一次網路安全更新報告,而此報告通常著重於如何保組織。這並不恰當。
讓網路安全為優先事項,意味在每次董事會都會討論這件事、在會議召開之間獲得更新資料、對報告以外的事項提出問題,以及有個人的興趣。
董事的個人行動,會對高階主管釋放訊息。透過行動與投入時間和關注,將網路安全列為個人的優先事項,董事就能展現出這件事有多麼重要。
資料來源:https://hbr.org/2023/05/boards-are-having-the-wrong-conversations-about-cybersecurity
沒有留言:
張貼留言