這篇是由Rinki Sethi所寫、2025年8月12日在computerweekly.com刊載的"What boards should look for in a CISO"。
選擇正確的安全領導人是董事會最重要的策略決定之一。因為今日資安長不只是救火隊,而是保護企業同時還要實現成長。
因此問題是:董事長認為偉大的資安長應該是什麼?
工作需求持續擴大
今日的資安長被要求做安全以外的工作。被期待要瞭解品牌風險、詮釋複雜的監管、流暢地向投資人報告,以及面對全球威脅局勢,同時還要確保團隊在發生錯誤時能快速、大規模地因應。某些狀況下,他們還要對事件簽署財務文件和負起法律責任。
這需要技術以外的技能。這需要企業敏銳度、溝通技巧,還有基於合作與負責的思維。
風險翻譯者,不只是風險報導者
資安長為董事會服務的最寶貴技能之一,就是將風險翻譯為董事會懂的語言。這不是讓事情變得簡單。而是以符合企業優先事項的方式架構決定。
當資安長報告時,能簡單地列舉出威脅和弱點嗎?他們能陳述風險對企業的意義為何嗎?他們能說明,若延遲修復系統,對客戶信任、營收或監理機關會產生什麼影響?
偉大的資安長不只報告風險而已。他們會協助董事會針對—哪些風險是可以接受的、哪些要減少,投資哪裡做出明智的決定。縱使面對不確定,明確度會建立信心。
以成長思維擔任策略伙伴
強大的資安長瞭解企業營運,不只是執行安全工具。他們知道哪些系統會推動營收、資料流向,以及客戶如何與產品或平台互動。
安全不應該是阻礙,而是實現者。董事會應該要找的資安長是能問:「我們如何確保、使團隊能動得更快?」這是一種能帶動創新、而非阻礙的領導人。
能因應模糊而調適
他們知道如何在資訊不完整下做決定、引導團隊通過彼此衝突的訊號迷霧,以及在最大壓力下保持冷靜。
這種韌性不一定會出現在履歷上。董事會需要直接和候選人接觸,感覺一下他們如何在危機中運作。因為當入侵事件發生時,或者當監理一夕間轉變時,你需要的是保持穩定、不驚慌的人。
董事會的素養及文化一致性
技術知識重要,但在董事會層級,溝通和領導風格通常更重要。
在經驗豐富經理人所組成的董事會上,資安長可以挺得住嗎?他們會帶來信任嗎?他們能建設性地挑戰假設、架構起他們關於企業風險的意見、而非只是提出安全清單嗎?
也很重要的是,問問自己他們與文化契合嗎?每個組織都有自己的節奏。正確的資安長可以調整節奏、同時又堅持重要事情的人。
當董事會出錯時
作者看過董事會犯了善意的錯誤。其中一個最常見的就是只基於品牌形象和技術證書聘人。這看起來很棒,但是不保證領導力。
另外一個陷阱就是假設資安長能完全「掌握」風險。事實上,風險是共同的責任。好的資安長會促進整個經營團隊的對話。他們不會做單邊的決定,而會促進一致性、審視後果。
最後一個就是按過去事件直接視為警訊。安全是會持續變化的。重要的不是—過去入侵如何發生。而是領導人如何因應、他們學到了什麼,以及他們後續如何轉變。
會議上的兩方彼此學習
這是一個雙向道。資安長需要瞭解董事會的語言。這代表能夠談重大風險、業務影響以及長期韌性。
若資安長可以縮短落差,那就不只是保護者,還是合作伙伴。
安全領導力是從最高層開始的
選任正確的資安長不只是安全決定。而是企業領導力的決定。
如果你是董事、也在評估安全領導人,作者鼓勵你不只思考工作需求。問問你的資安長怎麼看公司。他們如何影響轉變。問問你是否有給予他們邁向成功所需。
資料來源:https://www.computerweekly.com/opinion/What-boards-should-look-for-in-a-CISO
沒有留言:
張貼留言