【作者】    Nannette Cutliff
【資料來源】    Cyber Security Hub
【發佈日期】    2022年 6月 8日
【介紹者】    閻書孝研究員
【審訂者】    邱明志委員
【簡介】    

每日一連串的網路攻擊與資料外洩，對所有組織都構成重大威脅，沒有任何一家企業可免於成為網路罪犯受害者的風險。

謹記此點在心，具備寶貴網路安全專業的資安長在董事會有個席次的論點便明確。他們對董事會的報告也必須升級，納入風險評估以及對潛在風險損失的曝險進行量化預估。

董事會對網路安全監督肩負受託責任，因為資料外洩對組織的營運與財務穩定構成潛在威脅。

然而，太多組織對待網路安全控制，就是照本宣科，並且與監理遵循混為一談。但事實並非如此。

寶貴的專業知識

網路安全是一個複雜、持續變化的科技領域，需要嚴格的專業技能。

董事會成員很少具備該專業，他們對財務與營運風險的瞭解，無法直接把網路風險及其影響適度量化或質化。

投資人與監理機關最終同樣會挑戰董事會以提升網路安全監督，包括增加對重大資料外洩的管理報告以及評估網路相關事件的專業。

現在是時候讓網路安全專家在董事會有個席次，以確保此升高的風險不僅向董事會報告，並且經適當評估、瞭解及解決。

從指標到風險評估

為滿足此需求，資安長必須將他們現在對關鍵績效指標的報告、基礎建設威脅討論，轉變為風險評估以及對潛在風險損失曝險的量化預估。

為支持該轉型，美國證管會(SEC) 在2022年3月對公開交易公司提出了新法規。

證管會說，「關於網路安全風險管理、策略、治理以及網路安全事件報導的揭露，該等公司應強化並且標準化。」

此外，世界經濟論壇(World Economic Forum)的網路安全中心(Centre for Cybersecurity)在2017年發表了全球建議，升級了關於董事及執行長網路韌性及網路策略的原則，以利採取網路安全行動。

這些行動將不只明顯擴大網路入侵報導要求，藉由瞭解這些事件的潛在經濟衝擊，同時強化董事會對網路風險監督的需求。

專屬的委員會

根據Gartner，到2025年將有40％的董事會具有專屬的網路安全委員會，並受到合格的董事會成員監督，自今日不及10％提升。

這是Gartner預期許多組織在董事會、管理階層及安全團隊層級會出現的一項改變，以直接回應升高的風險，該風險來自於組織回應疫情供應鏈及遞交服務需求因而擴大的數位足跡和加增的攻擊面。

在美國，加州在這方面持續領先，強制董事會具備網路安全專業。董事會有網路專家，將會協助確保有效發送威脅訊息，傳達對組織的風險及營運衝擊，並驗證管理階層所採取的安全措施與所需要的控制相稱。

【網址連結】
https://www.cshub.com/executive-decisions/articles/why-todays-cisos-need-a-seat-on-the-board