一間公司裡面最遠的距離,不是生與死,而是 CEO 與 CISO(資安長)雖然同在一個辦公室,卻沒有交集。
這可不是什麼玩笑話,根據資誠(PwC)2022 年的《全球數位信任洞察報告》,有 1/5 的 CISO 表示,公司的 CEO 是他們最少互動的人物之一。這顯示出一項現實的困境,那就是雖然各公司會因應需求聘請 CISO,但他們卻與公司最重要的決策者沒什麼交集,更遑論共同制定公司資安方針之類的願景了。
CEO 也得管資安?想入手就從 4P 框架開始!
可怕的是,世界上大部份的公司,要不是正在遭受大量惡意攻擊,就是前往要被攻擊的路上,說到資安議題,基本沒人可以倖免。
不過,CEO 跟這又有什麼關係?關係可大了!因為一間公司的股東、客戶,甚至是員工的信任度與資安嚴密程度息息相關,丟了資安也就是丟了信任。而對 CEO 來說,建立並維持眾人對公司的信任可是一等一的大事。換言之,身為 CEO 的各位,正是推動企業資安時,不可或缺的關鍵人物。
那麼接下來,要解決的關鍵問題便是:CEO 究竟如何在網路安全領域發揮自己的領導專長呢?對此,我們可以試試套用 4P 框架:「建立原則」(Principle)、「注重人才」 (People)、「資安優先」 (Prioritization)、「洞悉細節」 (Perception)。
♦ TO 推薦閱讀:資安規範建立是場公司營運大挑戰,領導者沒有時間慢慢熬了!
想優化資安就先從熟悉的來:建立原則、招募人才!
建立原則對於 CEO 來說絕不是什麼難事,畢竟大家平常就在確認組織的使命和目標,而在資安方面,CEO 要做的,便是將這些內容納入營運目標和業務需求。
比如說美國家庭人壽保險公司(Aflac)便將資安緊扣公司的核心價值,首席資安長 Tim Callahan 表示,自家 CEO 非常理解資安對於公司的重要性,「他知道資安漏洞對品牌、顧客、公司聲譽所造成的影響。」正因客戶是如此信任保險公司,他們更有義務嚴密保護他們的個資。
確立核心後,CEO 應該瞭解公司的資安需求,並以此為基礎向外招募所需人才,延攬具有建設性與具創新力的成員加入,並且制定相關獎勵與評鑑辦法,以確保能留住頂尖人才。第一步就是聘請合適的 CISO,並授權他建立多功能的資安團隊。另一方面,CEO 應該確認職員們擁有必要的資安技能與正確的心態,理解自身的決策對於資安的影響。
♦ TO 推薦閱讀:想搞懂資安,看這些書就對了!從小白到專業人士全方位推薦閱讀書單
資安優先!一起致力消除資安認知差距
CEO 可以透過兩種具體的方式,以達成「資安優先」的目標。第一是簡化企業營運,二是將資安納入目標戰略中。
在資誠過去的調查中,公司的營運越是簡單,越可能有更好的資安成效。其中,重整組織的工作方式、建立數據管理框架都是優化的一種方法。此外,這些表現良好的公司通常還會透過技術解決方案持續評估風險,優先衡量資安的重要性。
而提到目標戰略,CEO 可以將資安相關的承諾納入決策過程中。比如說,不少組織在併購審查時考量相關的資安風險,但有多少人會因此放棄交易?再者,有多少公司會選擇延後產品上市,好修復關鍵資安漏洞?又或是,公司在進入新市場前,會面臨多巨大未知的資安風險?
未來最大挑戰?資安策略的危險意識
這種種重要決策,都仰賴具有資安意識的 CEO 建立組織文化,並落實相關概念在決策之中。當然,以上的 4P 框架並非完美的解答,但至少能為 CEO 們指出一些方向。
如今這個時代,如何制定出有效的資安策略、以提高公司的資安素養,並領導組織因應各種威脅、同時從中尋求機會,是 CEO 們都必須面對的挑戰。相信在未來,掌握網路安全的領導者,會是公司最重要的資產。
