這篇是2026年6月8日在Security Insider網站刊出的建議,在向董事會報告上做更大的方法整合。
現在幾乎所有安全主管都會直接向董事會報告,比十年前的25%增加很多,但是在技術安全現實與董事會層級的優先順序之間,溝通落差仍未縮減。Gartner在馬里蘭National Harbor舉辦的2026年Security and Risk Management Summit,分析師Sam Olyaei與Tom Scholtz介紹了一個架構,將這方面的報告當成本就熟悉的季報(而非威脅的情報儀表板),作為資安長向董事會溝通的範本。
目前資安長向董事會報告的問題在於結構,而非技能落差。Scholtz說,「我所看的很多報告實際上都是按網路安全結構的,而非業務。當資安長是按威脅情報、事件數、補救頻率來編製董事會報告時,他們使用的是安全營運為核心的詞彙,而非董事會詞彙。結果就是,董事會將網路安全視為遵循確認作業,而非重大經營風險,就算Gartner資料中有98%的董事會成員相信,威脅在未來兩年內會增加。」
Gartner在高峰會上所提出的架構,可直接對應董事會成員在每季收到報告的結構。資產負債表部分會提供組織當前網路安全局勢的即時狀況,熱點圖會顯示預估財務曝險中最主要的風險、已核准策略路徑圖下的狀態,以及生產級指標—比如補救頻率和事件控制時間。這會以董事會成員很快理解的格式,取代傳統的技術指標儀表板。
損益表部分可溝通:因威脅、流程更動、監理變動或自動化投資而預期的財務損失或改善。相對於單獨報告平均偵測時間,資安長可將此營運數字轉化為財務意涵:從組織風險概況角度看,減少控制時間兩天對於潛在安全漏洞有什麼成本上的影響?現金流量表部分會提供完整圖像,依部門預算展現安全資源配置—員工、服務、硬體、軟體—以比較基準和趨勢線讓董事會做跨年比較。
Gartner的架構是特殊且可衡量的:如果可以獲得建設性回饋意見而非尷尬問題,新模式就成功了,給予董事會充分資訊監督網路安全治理,並提高網路安全投資申請的核准率。「此架構意想不到的結果之一是,它也會升高資安長作為業務領導人的地位。」Olyaei指出連帶效益是,解決資安長長期被視為技術主管,而非策略主管的挑戰。
KPMG在2026年的網路安全報告將非人類部分視為新的治理落差,而且是大多數資安長在董事會報告上未處理的問題。每次報告時若更動指標,會阻礙董事會建立機構知識而偵測趨勢或提出實質治理問題。一旦開始制訂報告結構,要先在董事會報告之前,與關鍵領導性利害關係人互動,以便及早看到不一致之處,並在正式審視前先被接納。
資安長向董事會報告在實務上的影響,可不只是文件設計。僅顯示漏洞數的熱圖,仍是網路安全報告而已;按組織風險量化模型估計上的財務影響來標示每個風險群,報告才會涵蓋網路安全的業務報告。
資料來源:https://www.cybersecurity-insiders.com/ciso-board-reporting-gartner-financial-statements/
沒有留言:
張貼留言