【TechOrange 編輯部導讀】無論是台灣或是放眼全球,資安人才都跟日本壓縮機一樣稀少,且根據統計,有超過一半(53%)資安長任職期間不超過 2 年,除了職位吃力不討好,不曾間斷的外部挖角力量也是原因之一。
《華爾街日報》近日一項調查指出,已經有超過 3/4 的大型企業,選擇將資安領導者引入董事會中,為什麼他們要這樣做?能給企業帶來什麼助益?
步入網路攻擊猖獗的時代,企業董事會和資訊安全主管之間合作、信任和溝通的動態,會因應環境和法規的狀況不斷加強,而讓資安專家在「董事會」中發揮更重要的角色,可能可以大幅協助企業由內而外強化網路防禦,打擊網路攻擊。
近年來,含台灣在內,全球企業面臨著一系列趨向組織化、不斷演化的網路攻擊型態,從勒索軟體、網路釣魚、惡意程式碼,到資料外洩和其他網路隱私面的挑戰,董事會成員已必須意識到,到底公司迎向的是什麼樣的網路風險生態和風暴,又該怎麼善用資安專家的專長和職責,思考將其角色放置至董事會之中。
美國 SEC 網路安全治理法規上路,促進企業於董事會吸納資安專家角色
既然網路攻擊與犯罪的趨勢上升已成既定事實,公司治理面和國家法規面有什麼最新變化?資安專家在公司的董事會中有機會發揮何種關鍵角色及責任?
以美國為例,證券交易委員會(SEC)自 2022 年預告並提出新的法規調整,其中要求上市公司在 4 個工作日內公開報告網路攻擊事件和細節的公司安全應對策略,董事會也必須就其資安專業知識和監督情形發布年度報告。
企業的資產、系統和網路都是世界各國家越來越重視的,因為其被癱瘓或摧毀的影響層面可大可小,一旦不慎忽視,損害程度會難以掌控,甚至對國家的經濟安全、公共健康或安危造成嚴重影響。
美國 SEC 的主要考量在於,由於網路攻擊和威脅的樣貌更趨複雜、出現難以預料的變體,對金融證券市場構成嚴重風險,新的法規提案希望要求市場採取配合措施,提高資安保護力。
因應法規的變化,全球企業董事會接下來要謹慎評估:是否應在董事會中配置資安專家的席次?資安高層管理者也應積極思考:自己能為董事會帶來什麼貢獻?怎麼把專業技術思維結合到公司營運發展方向之中?假如董事會怠忽資安角色的這一塊拼圖,等於讓公司自身、投資者、整體市場屏棄好的戰略和武器、空手暴露在即將站滿更多敵人的沙場之中。
Gartner 預測:2025 年 40% 董事會將設立專責網路安全委員會
Gartner 預測,到 2025 年,40% 董事會將設立專門的網路安全委員會,由合格的董事會成員負責參與監督 —— 高於目前不到 10% 的現況。
然而,在到達上述的水準之前,資安專家在董事會中的比例、聲量相對較小的狀況,代表我們仍有一段過渡期要經歷。美國獵頭公司海德思哲(Heidrick & Struggles)數據顯示,平均而言,目前只有 12% 的首席資訊安全長(CSO / CISO)有在公司董事會中任職。
《華爾街日報》研究調查則發現,僅有 3 成的董事認為,其公司董事會有能力高度控管資安危機;/14 缺乏專業資安知識的董事會,計劃會聘請一位資安專家擔任獨立董事,其中包括 31% 的上市公司,雖然大多數公司沒有把此人力招募需求排為最優先事項。
53% 資安長工作撐不過兩年,引入董事會有助解放專業思維、留住好人才
當資訊安全領導者的角色的重要性高於任何歷史點,招聘和留住資安專家,並且讓資安專家有在董事會中一展長才的空間,成了企業下一個共同里程碑。
統計指出,53% 的首席資訊安全長(CSO / CISO)任職時間不超過 2 年,突顯出高流動率加上人才短缺的瓶頸,以及團隊背後潛在的思維衝突。
身為資安管理者,最大的挫敗感簡單來說,是來自於感覺公司內部沒有人在傾聽他們的擔憂,包含不易爭取到預算資源來彌補缺口、沒有和關鍵決策者對等溝通的平台或地位、與公司營運上的重大目標脫節或有資訊落差,卻還要承擔巨大的後果壓力、被歸咎責任,甚至涵蓋法律責任。管顧公司 Forrester 還預測,今年網路安全工作者一樣會處在長工時、生活工作失調的條件之下。
因此,為了提高資安領導人的彈性和優勢、扭轉上述問題,企業可以做的最佳解之一,就是在董事會中引入這樣的資安角色,或是設立監督委員會,實現資安專家和董事會之間誠實透明的對話,讓網路安全運作成為董事會關注的共同目標,以利降低過去董事們對於網路風險如何轉化為業務風險的理解困難,減輕資安團隊的心理壓力和工作負擔。
而資安專家本身在職位能力上的拓展,則是要培養怎麼向董事會、其他高層管理者傳達團隊的優先執行事項和威脅形勢,把專業術語、技術戰略調整為董事會所有人都能理解的語言。資安供應商 Black Kite 首席安全長 Bob Maley 認為:「最好的資訊安全主管可能不是最強的駭客或最優秀的技術人員,而是那些能夠將技術語言轉化為董事會能理解的語言的人。」
Google Cloud 的首席資訊安全長(CISO)Phil Venables 表示,現在許多大型上市公司都在其董事會聘用前 CISO、首席技術長,或是資深資安專家來填補我們所看到的缺口。《華爾街日報》最新調查也點出,尤其大型企業之中的情況正有所改變,超過 3/4 受訪的董事會成員表示,其董事會已配有至少 1 名資安專家。
總之,隨著法規保護牆也逐漸形成,不只是上市公司,任何公司規模的董事會務必意識到降低資安風險對企業生存不可逆轉的重要性,進而尋求資安專業的實質協助,未來的網路環境會出現更多艱鉅的挑戰,及早將資安考量納入至經營戰略之中、重視此類人才和資源,會是一個明智的決策。
參考資料:Axios、華爾街日報、富比士1、2、Ttripwire、CSO Online、Polymer、資策會(科技法律研究所),首圖來源:Photo by Michał Parzuchowski on Unsplash。
(責任編輯:藍立晴)
