返回首頁
網站導覽
聯絡我們
會員登入
協會簡介
關於協會
歷任理事長
理監事名單
什麼是公司治理
新聞專區
最新時事
專家觀點
公司治理簡訊
電子報
出版品專區
判決選粹
公益出版品
出版品
卓越董事進修學院
公開課程
到府課程
證書班
研討會
董監聯誼會
評量專區
董事會績效評估
公司治理制度評量
認證
公司治理制度評鑑
公司治理制度輔導
授證公司
常見問題
會員中心
會員註冊與登入
入會說明與權益
忘記密碼
團體會員介紹
NEWS
最新時事
專家觀點
公司治理簡訊
電子報
聽聽資安長怎麼說
發佈日期:2018年9月19日
作者:Julia Irvine
資料來源:Economia
介紹者:閻書孝研究員
審訂者:何佩諸委員
【作者】 Marc Lueck
【資料來源】 Computer Business Review
【發佈日期】 2017年 9月 5日
【介紹者】 閻書孝研究員
【簡介】
為了維護企業安全,組織所要面對的網絡安全挑戰是越來越多了。不只要在過去六個月裡網絡攻擊的數量激增,同時現在公司要處理的問題是更零碎、更跨越地域了—人們可以在多種裝置上工作。
除此之外,惡意軟體威脅日益複雜,對企業而言,要克服這些威脅,需要投入更多科技與資金。在外在條件快速變遷下,ClubCISO Information Security Maturity Report 2017表示,很多公司在面對網絡風險時,仍未將其列於正確的優先位置上。事實上,他們表示有78%的高階經理人只重視預防攻擊而已,而未考慮事件發生後組織的回應與復原。
在現代企業環境高度關聯的條件下,誤認優先性的後果是難以承受的。因為對資安長與資深的資訊安全專業人員而言,任何網絡上的防禦都可以被突破,而且危險比以前大得多。當公司被入侵,所遭遇到的不會只有財務上的損失,也可能會造成無法彌補的商譽損害。
ClubCISO最新的報告顯示,關鍵的董事會成員,會很重視回應與復原的部分。越來越多的媒體關注網絡攻擊,並不意外,然而,關於被入侵之後的回應,就是資安長不可迴避的責任。
儘管董事會成員在受到網絡攻擊後,並未採取平衡的方法來投資復原這一部分,不過還是有63%的董事會成員會要求資安長,要注意入侵的後果。這不只有點矛盾,也反映了了一個大問題:不論在哪一國的董事會都會發生,以及,在資訊科技管理階層的現實和董事會期待之間,存在落差。
董事會與資訊長之間缺乏溝通,部分原因是資安長這個職位在企業裡存在的時間並不長。但是當風險日益升高,資安長的任務就越來越重。而當公司所面對的威脅越來越多時,在企業裡有關科技的所有利害關係人上,資安長就是最重要的人物。他們在日常營運中要處理多重的威脅、設定資料保護政策,同時也要追蹤主管機關與使用者行為的改變。
毫無疑問的,在談到跨企業間的資安管理時,資安長是非常重要的,因此,令人擔心的是,資安長通常認為他們明顯置外於公司治理、也不被瞭解,他們通常認為自己被孤立。
儘管資安長在企業的地位是日益重要、也被看見了,但是資安長的角色仍受到質疑,而且對資安長實際上在做什麼,也明顯缺乏瞭解。儘管每間公司資安長好像責任差不多,但實際上並非所有資安長的角色與責任都一樣。
當然他們最重要的責任,就是降低網絡風險,而且他們在董事會裡占有重要地位,然而,個別董事會的期待,通常會影響到方法與策略上的差異,而這就會影響到資安長之間角色上巨大的差異。因此,對企業網絡安全發展而言,不可或缺的就是讓資安長們能夠彼此合作。
現在已經可以看到,資安長在組織裡能見度有提高。近半(47%)受調查的資安長認為,他們會積極所屬業務以外的參與營運策略決定。儘管有公司縮減了資源,但資安長對滿意於資源持續增加。僅十分之一的資安長今年面臨預算縮減,而14%的資安長表示預算增加一倍。
為了確保企業與其資料的安全,在企業整體策略上必須做清楚的改變。董事會需要在安排優先性上,必須將回應及復原,列於和預防一樣重要。這是資安長唯一能做的,而且董事會也要攜手合作。為了有效保護企業、降低風險,董事會必須聆聽並注意資安長的意見。
如果這沒有做到,特別是很多高階經理人並未準備好面對網絡安全,則對只看最明顯、戰術上造成公司崩潰的威脅,那問題將會非常大。
資安長是可以協助組織改變的。他們需要與董事會有更密切的議和,並向其他資安長多學習複雜的問題。唯有當每個人步伐一致、也視其為優先時,企業才會安穩。
為了維護企業安全,組織所要面對的網絡安全挑戰是越來越多了。不僅過去六個月裡網絡攻擊的數量激增,而且公司要面對的是分散於全球各地的員工,並在多種的裝置上作業。
除此之外,惡意軟體的威脅正日益複雜,對於企業而言,要克服這些威脅,需要投入更多科技與資金。在這樣快速變動的環境中,ClubCISO Information Security Maturity Report 2017表示,很多公司在面對網絡風險時,仍未將其列於正確的優先事項。事實上,他們表示有78%的高階經理人只重視預防攻擊而已,而未考慮事件發生後組織的回應與復原。
在現代企業所處高度關聯的環境條件下,錯誤的優先順序是無法被接受的。因為所有的資安長與資深的資訊安全專業人員都明白,公司網絡防禦的強度,常受制於其最弱的環節,而且這樣的風險比以前大得多。當公司被入侵,所遭遇到的不會只有財務上的損失,也可能會造成無法彌補的商譽損害。
ClubCISO最新的報告顯示,在媒體與日俱增的網絡攻擊報導下,董事會成員把預防被網絡攻擊的優先順序,設定高於被攻擊後的回應與修復,也就不足為奇。並且一般認為處理網絡攻擊僅是資安長的責任。
儘管董事會成員在受到網絡攻擊後,並未投資企業復原這一部分,不過還是有63%的董事會成員會要求資安長,要處理被攻擊的後果。這不只有點矛盾,也反映了目前存在全國董事會的一個大問題:就是在資訊科技管理的實況和董事會期待之間,存在極大的鴻溝
董事會與資訊長之間缺乏溝通,部分原因是資安長這個職位在企業裡存在的時間並不長。而日益升高的網絡風險,這就正屬於資安長的職務範圍了。我們可以說,當公司所面對的網絡安全威脅越來越多時,在企業裡有關科技的所有利害關係人上,資安長就是最重要的人物。他們在日常營運中要處理多重的威脅、設定資料保護政策,同時也要兼顧主管機關與使用者行為的改變。
毫無疑問的,在談到管理整個企業的資安時,資安長是非常重要的。因此,若是資安長常常認為他們明顯被置於公司治理之外、也不被瞭解,或他們通常認為自己是孤立的,這就令人擔心了。
儘管資安長在企業的作用日益重要,但是資安長的職能仍受到質疑,而且對資安長實際上在做什麼,也缺乏瞭解。儘管每間公司資安長的功能好像有相似之處,但實際上並沒有針對資安長職能內容的清楚列表。
當然他們最重要的責任,就是降低網絡風險,通常他們在董事會中擔任高階職務(但不一定都是資安長),然而,因為個別董事會不同的期待,以及所採行的方法與策略上的差異,而造成這個角色上極大的差異。因此,對企業網絡安全發展而言,最重要的就是讓資安長能夠企業團隊充分合作。
一個明顯的做法是,資安長要盡可能提高自己在組織的能見度。近半(47%)受調查的資安長認為,他們會積極參與所屬業務以外的營運策略。儘管許多的職位面臨裁員,但資安長所獲得的資源則持續增加。僅十分之一的資安長今年面臨預算縮減,而14%的資安長表示預算增加一倍。
為了確保企業與其資料的安全,在企業整體策略上必須做明確的改變。董事會在安排優先性上,必須將回應及復原,列於和預防一樣重要。這樣做唯一的方法,就是資安長與董事會攜手合作。為了有效保護企業、降低風險,董事會必須聆聽並重視資安長的意見。
如果沒有這樣做,特別是那些高階經理人不熟悉網絡安全的公司,若只關注最明顯的以及策略上的威脅,他們將面臨的最大風險就是公司自身的沒落。
這應該要由資安長來協助組織做出改變。他們需要與董事會有更密切的合作,並瞭解其他同僚職務的內容,同時也要讓其他人了解自己的職務內容。唯有當每個人都一樣重要,並有一致的優先事項時,企業才會真正的安全。
【網址連結】
http://www.cbronline.com/news/cybersecurity/business/give-cisos-say-cyber-security-paradox/
BACK PAGE
TOP