這篇是由Scott Alldridge所寫的文章:"You Don’t Have Cyber Governance If Your Board Relies On IT Or The CISO",2026年1月23日在Forbes網站刊出。讓我們思考什麼是資安「治理」,以及做好這個治理跟追逐技術有什麼差異。
網路風險今日不再只是在IT部門。它同時存在著技術結構、人的認知、AI以及治理。當董事會只是同意報告、而沒有理解應該提出的問題時,就是治理失靈。他們等於把風險毫無責任地外包出去。
現在的困難是,網路安全無法光靠報告就能控制住。儀表板會反映的是活動,而不是暴險。查核會展現的是遵循,而非韌性。工具會展現的是能力,而非控制。良好的治理是立基在—瞭解風險實際上會如何貫穿整個組織、資料會如何被搬移、系統如何彼此相連,以及在技術方面人的行為會受到什麼影響。
如果董事會無法以簡單的詞彙予以解釋—當資料外洩時自身組織會發生什麼事,就不存在網路治理。
今天,風險通常是由速度決定的。公司被建議要使用AI,但未必完全知道資料去哪、或者不法份子會怎麼使用。畢竟,一旦敏感資料或智慧財產被上傳到外部的AI系統時,就難以控制了。這件事沒有後悔藥。
董事會很少會提出這方面的問題,不是因為他們沒有興趣,而是因為他們沒有準備好治理這個交織的領域。
董事會成員不需要是工程師,需要的是風險意識。董事會要持續有的一個最危險假設是:出問題一定有人向他們報告。這件事現在未必如此。今天,網路風險會悄悄佔據重要位置,其透過架構性的決定、身份延伸、AI採用以及不在傳統安全領域內的流程捷徑。直到警鈴響起來,恐怕風險就已經不可逆了。
董事會不需要擴大儀表板,需要的是提出能展現真正治理的更尖銳問題。有效能的董事會會定期詢問:
*我們最重要的智慧財產在哪,誰可以取得?
*哪些資料在未經審視或核准下就可以複製、提示或上傳AI工具?
*若出問題時,哪些系統會擴大傷害而非抑制?
*我們如何確保能協助錯誤發生前的控制,而非在發生後?
*關於AI破壞信任一事,我們有什麼假設?
*當人、流程與技術彼此交錯時,誰真正負責?
這些不只是技術問題,而是無法用一張投影片就回答的治理問題。
資安長會監督安全計畫。但是監督風險可是董事會的責任。當董事會被迫只依賴資安長報告時,就不可避免地會產生這樣的盲點:負責執行的人現在成為了唯一觀察風險的人。這不是監督;而是依賴。
良好治理需要的是,會議桌上的每個人都能訴說:技術和企業影響的關係。他們都應該瞭解,為何網路安全、企業技術以及AI彼此交織,以及此交織會帶來什麼實際的風險。
在AI和持續網路威脅的時代裡,董事會需要網路安全知識與技術經驗。其角色不是提供工具或技巧,而是將複雜、快速演進的技術風險成為緊急事項前,轉化為商業現實。這件事是在數位世界裡提出假設、達成其受託義務。當網路風險與企業價值、聲譽和信任密不可分時,就成為董事會最重要的事項之一。
現在,成功的網路攻擊很少是由技術失靈引發的,而是治理失靈,而且就是董事會的監督與責任。
沒有留言:
張貼留言