根据资安厂商趋势科技公布的一份委託 Enterprise Strategy Group(ESG)所做的「Cybersecurity in the C-suite and Boardroom」(网路资安在高阶经理人与董事会心中的地位)调查指出,目前资安与商业流程整合存在着系统性挑战,并也点出前 3 大董事会必须关心的资安策略。
这份针对北美及西欧中大型企业的研究发现,仅有 23%的企业认为资安与关键商业计画的配合相当重要,为解决这项核心挑战,该报告提出以下 3 点建议:
增加一个「业务资安长」(Business Information Security Officer , BISO)职务来改善业务与资安之间的配合。
成立一个由上而下的可量化计画来协助资安长(CISO)改善与董事会的沟通。
改变组织结构,让 CISO 直接对执行长(CEO)呈报。
除此之外,这份研究也发现当董事会更了解也更投入资安讨论时,就会开始问一些更难的问题、更能深入挖掘问题核心、也更有可能跳脱技术层次来思考业务问题。
绝大多数的受访者(82%) 表示,由于威胁不断升高、企业受攻击面逐渐扩大,再加上企业流程对科技越来越依赖,过去两年网路资安风险已变得更加严峻。然而,儘管企业在过去一年已加快了数位转型的进程,但仍有受访者认为资安大部分属于(41%)或完全属于(21%)技术的範畴。
资安威胁防护未获重视的情况在董事会尤其明显,儘管有 85%的受访者表示现在的董事会已经比两年前更加关心资安决策及策略,但董事会通常是因为企业发生资安事件、或者出现新的法规遵循要求、抑或是因为 CISO 制定了一项资安计画才被动参与。
事实上,有 44%的受访者表示,他们的董事会对许多关键的资安营运不太关心。这意味着许多董事会都只愿意提供最少的资金来达成法规遵循与资安的基本要求。
趋势科技网路资安长 Ed Cabrera 表示,只求够用的资安防护在今日的网路资安风险情势下显然是不够的。这份报告真实反映了之前与许多 CISO 的对话,突显出董事会投入程度不足可能导致企业整体资安体质不佳,使得资安无法与商业流程有效整合。唯有执行长和企业董事以身作则,才能让企业培养出资安文化,让每一位员工相信自己在企业资安扮演着不可或缺的角色。
