【作者】Catherine Stupp與Kim S. Nash
【資料來源】Wall Street Journal
【發佈日期】2024年 3月 26日
【介紹者】閻書孝研究員
【審訂者】邱明志委員
【簡介】    

根據一份針對長字輩經理人的新調查，網路安全主管難以向高階經理人及董事會溝通，而且通常對公司安全形象之描繪太過正面。

隨著新法規要求公司揭露更多關於網路安全的細節，約有一半受訪公司認為迫切需要強化安全主管的溝通技巧。

根據溝通顧問機構FTI Consulting的新調查，31％的高階經理人說，他們相信公司資安長所描繪的景象比實際狀況更樂觀。

FTI還發現，30％受訪者說資安長似乎對於表達公司系統之安全漏洞有所遲疑。該調查於3月26日公佈，對象是美國、拉丁美洲、亞洲及歐洲不同產業的787位長字輩主管。

FTI的資深董事總經理Meredith Griffanti說，與不瞭解技術用語的高階經理人和董事會打交道的資安長通常會試著以簡化與最終刪減重要事實的方式溝通。

當向董事會報告時，Griffanti說：「我們通常看到資安長試圖融入並且毫髮無傷地離開。」

顧問公司Adversarial Risk Management的創辦人及經營紐約證交所的洲際交易所(Intercontinental Exchange)前資安長Jerry Perullo說，有一部分問題在於許多資安長缺乏工作所需的權限。他說，對資安長的期待已經擴大，但其影響力卻未隨之增長。

儘管有「長」這個頭銜，但資安長經常位階較低，要向資訊長報告。這就意味資安長不會參加與高階管理者或其他長字輩討論的策略會議。

Perullo說：「這絕對是一個問題。這不是說資安長將成為代罪羔羊，而是說他們沒有被賦予足夠的權力。」

會計與顧問機構KPMG的網路安全部門負責人Matt Miller說，主要脫節之處在於傳達網路安全工作的投資報酬率(ROI)。董事一般希望與管理階層討論這類計算，但在網路安全方面，這個方程式沒那麼簡單。

Miller說。未被駭客入侵所省下的成本是無形的。然而，就現代的資安長，「你需要某個能作經營決策及瞭解投資報酬率的人。」

FTI發現，由於資安長和高階領導人在針對網路安全溝通時未能對齊，31％受訪的長字輩主管表示，他們難以理解網路的投資報酬率。

高階經理人想要資安長強化他們溝通網路風險的方式。FTI的調查發現，98％的高階經理人支持為此類培訓提供更多資金，而有45％說這是迫切需要。

Griffanti說，許多資安長在董事會議做冗長報告，但沒有涵蓋公司安全風險最重要的面向。她說，董事會與資安長花最多時間在討論簡報前幾頁，像有多少員工通過網路釣魚測試這些細節。更重要的主題，比如不花錢來減少特定風險的潛在後果，卻沒有處理。

美國證券交易委員會(Securities and Exchange Commission，SEC)與其他監理機關的新規範強調董事會與資安長之間的關係。從十二月開始，SEC要求公司在每年提交的監理檔案內揭露更多關於網路風險及其如何管理安全的細節。迄今為止，許多公司已指明資安長與董事會見面的頻率，通常是一年二至四次。某些公司敘述將緊急網路問題升高層級至董事會的流程。

最近針對網路主管而備受矚目的法律行動，讓資安長在高層會議上感到不安。SEC在十月控告了軟體公司SolarWinds及其資安長Tim Brown，指控他們在2020年網路攻擊前後以關於公司網路安全的誤導性資訊欺騙投資人，該攻擊損害了許多公司和政府機構。SolarWinds週五提出駁回訴訟的動議。

五月時，優步(Uber Technologies)的前安全長Joe Sullivan被舊金山聯邦法院判處三年緩刑，原因是以刑事犯罪的手法阻礙2016年公司資料外洩之調查。此案是資安長因公司網路安全事故而被控告的罕見案例。Sullivan對此判決還在上訴中。

Griffanti提到觀察這些案子的資安長時說：「他們個人覺得要對任何類型的事件負責，因為他們是提出風險並要求董事會投資的人。」

對於該工作的資格還沒有共識，一如已確立的職位，諸如資訊長或財務長。

網路安全評估公司Schellman的執行長Avani Desai說，許多資安長都是因技術而晉升的。她說，從歷史來看，網路主管被視為技術專家，但這個職位要求對業務及企業風險有更廣泛的瞭解。某些網路主管對這件事還沒做好準備。

她說：「這可不是十年前資安長的角色。」

【網址連結】
https://www.wsj.com/articles/cyber-leaders-struggle-with-heightened-job-expectations-communicating-with-board-553118ab