這一篇"6 steps to getting the board on board with your cybersecurity program"是由Phil Muncaster所撰寫、2023年10月11日刊載於welivesecurity網站的文章。對於資安長和董事會溝通,我們看過一些點出問題的文章,這一篇是從資安長角度看的,內容若與過去其他不同角度(比如董事的角度)看也有類似之處的,或許就是我們應該走的路了。經理人/公司員工如何向董事會報告,是一門學問、也有專書討論,資安長是最近新興職位與領域,是一個很好的觀察切入點。以下分享一些要點。
在美國,2023年第二季有對外報告的資料外洩事件,季度增幅為114%,今年有望打破紀錄。在歐洲,歐盟安全機構ENISA在2022年就警告了零時差攻擊、勒索軟體即服務、雇用駭客、供應鏈攻擊與社交工程詐騙的激增。解決這個問題最終還是落在資安長身上。但他們要有效履執行任務,需要董事會支持。這是為何與董事會互動及董事支持計畫的重要性。
在企業領導人與IT及網路策略負責人員之間,經常存在分歧。也就是說,董事會可能仍視IT與網路安全是成本,而非營收—絕對不是業務的推力。
那麼如何讓資安長及其同仁與董事會有更好的互動,讓策略主張獲得長期的支持呢?以下是六點建議:
1.以正確的語言說話
讓網路和業務之間有更佳連結的第一步,就是理解。這意味的是:不用專業與複雜的術語講細節,而是談企業風險。告訴董事「勒索軟體使得200台伺服器當機」,他們只會想「那又如何?」但若說這會造成停機一週,並造成每小時40萬美元的損失,則董事的反應會完全不一樣。
2.衡量風險並凸顯其重要性
將網路安全資訊轉化為董事和公司在意的衡量指標,並據此來分享資料。要考慮的領域是:顯示現有安全控制的績效和有效性的指標—說明哪些部分有奏效,以及哪些領域有待改善。追蹤這些對象的時間變化,以及進行產業基準比較,會提高影響力。
在向董事會報告這些事時,要以簡單和高層級的方式呈現。但不要擔心使用一些公司的軼事來表達。
3.藉由設計與預設來推動安全
根據Word Economic Forum(WEF),有43%的企業領導人認為,網路攻擊在未來兩年會對其組織有「重大影響」。雖然他們重視網路攻擊的嚴重性是一件好事,但也反應了董事會的思維越來越在意的是將資源投入日常事務,而非策略投資。
資安長需要說服最高層的同儕,更策略性地注意網路安全,而他們這麼做會獲得更好的成果。依設計與預設的安全,是一般資料保護規則(General Data Protection Regulation,GDPR)監理機關與其他單位所推動的最佳實務。這意味,必須在一開始的業務措施或產品中建立安全考量,而非之後—甚至更糟的是,在事故發生之後。
4.更常會面
根據WEF,超過一半(56%)的資安長現在會每個月(或更常)與董事會會面。這是讓董事會接納安全很重要的一步,特別考量到威脅局勢演進的速度在加快。然而,要促進共同理解還有很多事需要做。其中一個就是確保資安長能直接向執行長報告,因此確保執行長更瞭解網路安全,以及安全領導人更直接獲得業務方面的回饋意見。
5.制度化網路安全計畫
很多網路安全計畫是臨時、以技術為主的。相對地,它們需要以相關KPI及指標予以適當記錄、衡量,並在由上而下的結構予以制度化。這會有助於鞏固企業內的網路安全職位。
6.聘僱業務資安長
業務資安長(business information security officer,BISO)是一個特殊部門或營運單位職位,負責業務與安全兩團隊的聯繫。藉此,他們能協助將高階的策略轉化為實務營運措施。因此,他們能創造每個組織都追求的基於安全的設計(security-by-design)文化,並向仍質疑的董事會證明:安全應該納入企業的每個環節。
沒有留言:
張貼留言