這篇是由Rob Rashotte所寫,CSO在2026年 4月 15日刊出的文章:The need for a board-level definition of cyber resilience。
董事會現在在法律上要負責網路韌性,但是對於這件事實際上所指為何卻沒有共識。現在是時候不再從「安全」開始討論,而從生存角度討論。
網路韌性已成為關鍵治理問題,因為組織面對到日益複雜、成本高昂的網路威脅。然而,最近研究顯示,在各監理架構對網路韌性的概念仍然不一致,某些狀況下,跨產業與跨國組織的指引還彼此矛盾。此概念分歧代表最高經營團隊的系統性風險。在缺乏標準化定義下,董事會將難以決定—他們應該監督什麼、衡量什麼,以及如何評估整體組織的網路韌性。這個挑戰因為幾個外部因素而增強,比如監理壓力、升高的公共審查,以及網路顛覆日益升高的經濟影響。
目前研究文獻告訴我們什麼?
為了整合當前關於網路韌性的觀點,作者最近對38份文獻進行了詳細的回顧,這些文獻是在董事會和經營團隊相關脈絡下,去審視網路韌性如何定義與概念化。這次的回顧包括學術研究文獻、產業白皮書以及公認網路韌性工作小組的意見。
目標是要評估,現行關於網路韌性之定義與概念化是否會展現出充分的一致性,以支持與董事會有關網路韌性之普遍定義,並隨時間演進而支持有意義的衡量模型。成果很清楚:網路韌性仍在起步,對網路韌性概念之理解非常不一致。雖然很多網路韌性概念在技術圈子馬上就能瞭解,但在董事會和經營團隊討論網路韌性時,必須在經營成果的特殊脈絡下。
以下是對文獻回顧發現的簡短彙整,聚焦於各文獻共通與分歧的領域。
文獻之間的共通處
組織成果對策略與控制
有一致共識的是,網路韌性應該連結到組織成果,而非技術控制與政策。相對於聚焦在諸如平均偵測時間或安全控制數的這些指標,組織網路韌性需要評估—在重大顛覆時業務延續程度、保住利害關係人信心,以及財務穩定度。為了做到這一點,需要視網路韌性為策略優先事項,將之整合進組織治理以及經營策略。
韌性可比準備度廣泛很多
雖然某些文獻是在韌性的脈絡下架構防範風險及保護,但是幾乎在每份受回顧的文獻裡,業務延續性與復原都普遍被視為重要的韌性主題。此展現了普遍的信念是—顛覆是免不了的,而韌性是透過快速因應及復原而展現出來,而非只有準備。某些文獻甚至倡議要將網路安全與網路韌性視為單獨的主題,協助處理模糊性。
網路韌性是領導人的責任
網路韌性越來越被架構為領導人責任,而且相關治理被視為是—董事會目前所面對到最主要的治理挑戰之一。很多資訊來源都明確定位董事會要為韌性結果負責,某些文獻還強調,需要將責任指派給單一主管。這很明顯是政府規定所推動的,在某些國家裡,董事會在網路韌性結果方面的責任是明文規定的。相關文獻也強調,高階領導層在培養整個組織網路安全意識與韌性文化上的重要性。
產業脈絡
本次回顧也調查了各產業關於網路韌性定義及概念化上的差異,雖然存在差異,但是它們特別反映了優先順序及經營環境,而非韌性有基本的觀點差異。比如,聚焦於金融服務業的文獻就強調生態系統的監理遵循與系統穩定,而聚焦於能源與工業的文獻則明述優先順序是營運延續和安全。雖然這些差異或許會影響到韌性如何實施與衡量,但是各產業對網路韌性的基礎概念還是一致的。
分歧的觀點
概念架構:網路韌性為何?
當前網路韌性文獻分歧的領域是,網路韌性的整體架構與概念。在很多狀況裡,網路韌性被視為網路安全的一個組成部分,而其他則將網路安全視為網路韌性的前提。在眾多受回顧的文獻裡,諸如風險管理、網路安全準備與網路韌性這些詞彙,是可以彼此互換的。約30%的文獻會將網路安全架構為一個非常明確的結構,使之和一般網路安全概念有所區隔。這些文獻會將網路韌性特別定位為更廣泛的策略治理結構。
網路韌性範圍:其起點與終點在哪?
討論最引發注意的爭論領域是:在網路危機週期之中,網路韌性起點與終點的責任。比如一如先前所指出的,通常搞不清楚:準備是韌性的一部份,還是其前提。將近一半的受審視研究文獻認為:風險分析及準備跟韌性是不一樣的。在這個狀況下,韌性僅限於因應、復原與調適。根本上,要把危機前發生的事與危機中、危機後發生的事兩個分開。
這個分開是合理的,因為網路風險準備一般來說是透過政策與控制衡量的,而危機因應、復原及調適需要不同的措施。當然,略微超過50%的文獻視網路韌性為整體性的結構,具從預測風險到復原及調適的全面性責任。此觀點也是合理的,有鑒於董事會與經營團隊在保護公司和其股東上所負擔的廣泛受託責任,因此對他們更重要。
網路犯罪,網路韌性之催化劑:怎麼看未預料到的顛覆?
與先前爭論的領域同樣的是:在網路韌性脈絡下,對顛覆事件的狀況要定義到多廣。雖然網路犯罪在文獻中佔多數,且仍是網路風險的主要推力,很多定義會刻意避免將韌性連結到單一類型的威脅。事實上,在38篇受審視文章裡,只有兩篇特別將網路韌性之定義連結到因網路犯罪而起的事件。這是個令人訝異的發現,但是考慮到最近有很多引發大規模服務中斷的意外性顛覆,就令人鼓舞。確定的是,網路韌性治理需要聚焦於組織吸收任何類別網路顛覆、從中復原的能力—無論刻意與否。
政府規定:是推手還是阻力?
網路韌性的監理架構在各地區及各產業之間有明顯的不同,對標準化帶來了挑戰。金融服務業內的網路規定和能源業的相當不一樣,而在消費科技業又不一樣。有幾篇受審視的文章強調,要在規定和監理者的大海裡掌握複雜性。相關的監理機關包括美國的網路安全暨基礎設施安全局(CISA)、聯邦貿易委員會(FTC)及證券交易委員會(SEC),在英國有超過10個特定產業的監理機關、歐盟是個別成員國,還有其他更多的機構。
對於監管的效益存在一些歧見,但是此文獻回顧中大多數意見是,對組織(特別是跨國組織)而言,複雜性已變成無法管理。也值得注意的是,對中小企業而言,遵循規定會給人一種安全的假象,因為它會讓人誤以為遵循就等於韌性。
對董事會與經營團隊的影響
外界正升高對董事會與經營團隊之期待,而且某些狀況下是由法律要求的—要為整體網路風險和韌性的結果負責。這個責任大大超越了過去的期待—僅是核准安全投資或遵循活動。為了有效做這件事,最重要的是,在網路韌性上有明確的定義與範圍,並清楚地以業務語言向董事會和經營團隊溝通。對於聽眾而言,網路韌性必須以營運影響、財務曝險與組織延續性的詞彙架構起來,而非只有技術指標。
當經濟變得更整合、更彼此依賴,他們對暴露在網路顛覆上的風險,以及受到的影響可是指數型成長。因此,個別組織挺住與快速從網路顛覆中復原的能力,不只可衡量組織網路韌性,也有助於提高整體全球經濟韌性。在這個意義上,網路韌性應該被視為是更大的韌性議題,還有財務、營運與供應鏈的韌性。因此,在董事會層級釐清網路韌性不只是治理問題,也是在日益數位化的經濟裡瞭解整體韌性的基礎。
.jpg)
沒有留言:
張貼留言