【作者】Jonathan Reed
【資料來源】Security Intelligence 
【發佈日期】2024年1 月 22日
【介紹者】閻書孝研究員
【審訂者】邱明志委員
【簡介】    

為何公司會關切網路安全？資料保護、遵循、風險管理以及確保企業持續經營是主要驅動力。這些都不是無關緊要的問題。那麼為何董事會成員在談到網路問題時經常保持距離？ 

去年發布的一份報告顯示，僅5％的資安長(CISO)直接向執行長報告。實際上低於2022年的8％及2021年的11％。縱使董事會成員不想跟網路靠得太近，網路問題無論如何會找上他們—至少根據美國證券交易委員會(SEC)可能實施的新法規。負責安全的首長該做些什麼？

網路知識落差

最近一份CyberEdBoard報告說：「董事會成員只不過還沒裝備好去了解技術。這問題的另一面是資安長往往使用術語，超出董事會的理解。我們必須找到讓資安長有效向董事會溝通的方法。」

隨著精通科技人士越來越多進入經營高層，這可能是一個普遍現象。然而，若僅一小撮資安長向執行長報告，它就引發了公司如何優先重視安全問題的疑問。

同時，美國聯邦政府越來越擔心網路攻擊，例如重要基礎設施與政府機關所帶來的影響。而聯邦政府正採取行動強制要求遵循法規。

SEC執法向前行

在2022年，SEC將執法部門的網路安全與加密資產單位(Enforcement Division’s Cyber and Crypto Assets Unit)規模擴大了近一倍。此後，由於網路安全控制不足以及網路風險和事件的揭露不充分，該部門已經對SEC所監管的實體展開執法程序。

在過去兩年間，SEC的執法造成起訴、罰款及和解。世界上一些最大金融實體不得不支付從42.5萬美元到3500萬美元不等的罰款。

公開發行公司的法規是下一步嗎？

如今，SEC提議的第十號規定(Rule 10)，明確要求所有公開發行公司以8-K表格報導重大網路安全事件。第十號規定也強制要求定期揭露註冊公司的政策及程序以辨識和管理網路安全風險、在落實網路安全政策及程序中經營團隊的角色—以及董事會的網路安全專業知識，如果有的話。

董事會應該加入網路

雖然某些董事會成員可能仍不願正視安全問題，而教育是關鍵。應該提供一些易於掌握的參數，像資料外洩的全球平均成本達到445萬美元。或者告訴他們SEC的罰款為3500萬美元。

安全首長也應該蒐集真實世界的資料以及網路帶給公司的損害─去年你們偵測出幾起攻擊呢？有多少資料外洩？預估的成本有多少？需採取什麼手段將未來的事故降到最低以及需要做什麼投資？ 

這些是簡單概念，任何有商業頭腦的人都能搞懂。具備這一類的資訊後，董事會成員就可以明智地與任何監理機關對話。

要求董事會成員成為網路專家是不合理的，但是可以引導他們去理解相關的事業風險和利益。此外，網路主管應該在長字輩主管中有一席之地，或者至少能向執行長報告。

給董事會所能瞭解的術語

根據CyberEdBoard的資安長及專家委員會顧問Marco Tulio Moraes，安全主管需要學著以財務用語說話。

例如，你可以用量化的財務用語來解釋網路風險組合曝險的總損失嗎？這可協助每個人掌握問題的大小來推動策略。以醫療照顧業為例，風險組合曝險的損失平均為550萬美元，假設每年發生的可能性為9％且平均損失4000萬美元。這是你的董事會可以接受的嗎？ 

一旦清楚說明這些數字，就可以在考量若干限制下，諸如預算、人員、時間與其他資源限制，定義風險胃納及承受度。自此，關於策略網路安全便可以進行明智討論，包括投資、責任與預期結果。

【網址連結】
https://securityintelligence.com/articles/boardroom-cyber-expertise-scrutiny/