這篇是Jeffrey Proudfoot與Stuart Madnick合寫的"Boards Are Falling Short on Cybersecurity",2026年4月2日在Harvard Business Review刊出。以下分享一些內容。
作者針對超過75位董事、高階經理人深入訪談,發現董事會雖然更重視網路風險,但是其緩解能力進步甚微。
在對董事會網路治理之觀察,有三個因素引發此問題:
1.缺乏網路安全專業知識
2.董事會層級對AI的對話忽視安全
3.董事會誤認監理遵循就是安全了
以下針對第一與第三點再做一些介紹:
1.缺乏網路安全專業知識
根據作者對董事的對談,改善董事會網路治理有一個常見的策略:添加網路安全能力的董事。表面上看這似乎可行。與其試圖讓董事會提高網路方面的技能,直接加1至2位具網路知識董事,似乎比較容易。不過董事不太探討這個問題。有一位董事如此表示,董事難以及時瞭解這個問題:
「我們董事會上沒什麼技術專家。我同時擔任好幾個董事會。我在這些董事會上就是技術和網路專業人士了。...但AI與網路事務變化如此之快。我很難跟上。我已經是熟悉技術的,而且生活在矽谷。」
董事會應該做的:現實上若未能引入更多具網路安全專長的董事,或許無法監督好。從訪談來看,糾正董事會層級的這個弱點是浪費時間精力。與其增加具網路安全專長的董事會,董事會不如將網路安全責任聚焦到—選任與監督有效的網路安全高階經理人。
相對於致力於讓自己成為技術專家,董事應該聚焦於發展其能力,以辨識、評估和招聘強大的網路安全領導人,然後對這些領導人提供有效的治理。很多董事被邀請進董事會的原因是,他們有成功的高階經理人經驗,此專長是可以利用與重新架構的,藉以評估網路安全主管是否有效。執行此評估的一個方法是:觀察高階經理人這個領域上的績效。
雖然網路事件是有傷害性、顛覆性的,他們也為董事會監督高階經理人在壓力下如何回應,提供寶貴的基會。若網路安全領導力在危機時刻不足,以及他們有效與董事會溝通的能很弱的話,董事會可能會想要更換領導人。在沒有實際入侵事件下,董事會也可以透過模擬事件演習、或者網路消防演習來評估領導能力。
要有效採行此重新定義過的方法,董事應該重新評估:在網路方面他們如何與關鍵高階經理人互動:
(1)評估安全簡報之明確性、相關性與可接觸性。
(2)確認組織網路措施及文化聚焦於韌性與經營延續性,而非只強調實行和測試技術控制。
(3)考慮網路安全之互動頻率,確保討論是定期與策略性的—而非僅被動因應、或怕上新聞才做。
(4)應該聘請外部顧問,強化他們的能力,以提供適當的網路治理,但不用成為特殊主題的專家。
3.董事會誤認監理遵循就是安全了
網路安全規定之多,讓很多董事會誤以為:遵循法規就安全了。董事會討論網路安全規定是很花時間的,因為他們經常陷入儀表板細節、方格打勾,並且確保遵循之證明無虞。但是關於董事會對這些任務所需的注意力,作者發現,網路相關規範和良好網路安全實務之間的關係,關係其實甚微。
董事會應該做的:視網路安全不是監理遵循問題,而是競爭性的營運韌性問題,即市場激勵與組織問責性推動更強的安全結果,而非政府施加的規定。此動態類似於航空安全,而非傳統規範—組織改進的動力是因為失敗結果(比如營運中斷、財務損失以及聲譽受損)是很嚴重的。
因此,董事會要強調內部激勵、問責性與營運嚴謹性,視網路安全為韌性和長期競爭力之核心要素。為確保董事會與這個新觀點一致,他們應該考慮的問題有:
*網路要素可整合進產品、服務發展到什麼程度?
*董事會是以積極還是消極態度處理網路事宜?
*網路安全可如何增進客戶體驗與品牌聲譽?
此外,董事會需要瞭解—網路安全風險通常會跨出組織的邊界,因為弱點存在於彼此關聯的系統與產業,而且後果嚴峻。由於風險監督是董事會最重要的工作之一,因此必須小心研究這些風險。
為處理跨組織的風險,董事會應該確保高階經理人視這些領域為策略優先事項。他們應該積極確認高風險的伙伴、確認外部威脅有完全整合進入營運延續計畫,並驗證關鍵功能是否有適當的空間。同樣重要的是,董事會應該鼓勵伙伴採行更高層次的姿態—別把遵循視為安全,而視其為韌性與競爭優勢的推手。
董事會應該要認識到:他們最有效的工具不是增加技術專家進董事會,或者依靠訓練—因為在由AI引發的威脅環境裡,很快就會過時。他們應該要聚焦於如何有最高品質的網路安全領導力、賦予他們權力,將影響力發揮到最大。
資料來源:https://hbr.org/2026/04/boards-are-falling-short-on-cybersecurity
.jpg)
沒有留言:
張貼留言