首席信息安全官如何在組織中掌握更多權力 - 《華爾街日報》

Anthony Vance and Michelle Lowry

2022-12-05

許多首席信息安全官對被排除在戰略決策之外表示沮喪。插圖：喬恩·克勞斯許多首席信息安全官（CISO）似乎都面臨着同樣的困境：他們得不到應有的尊重。

儘管頭銜中帶有"首席"二字，且在日益數字化的經濟中對企業安全起着關鍵作用，但他們通常不被視為董事會或高管層的平等成員。因此，他們經常被排除在戰略決策之外。

“如果你不能參加CEO的班子會議，那你名字前的’首席’頭銜就只是營銷噱頭，並非實權。“一位在標普500強企業擔任CISO超過十年的前高管在接受採訪時表示，該訪談是關於董事會如何監督網絡安全的深度實地研究的一部分。

安全主管們表示，這種公信力的缺失具有破壞性，因為他們需要與高層管理團隊合作，以確保網絡安全保持優先地位，並使組織得到充分保護。

為促進與CISO的更多互動，美國證券交易委員會今年早些時候提出新規，要求上市公司必須説明是否設有CISO職位、CISO向誰彙報工作以及CISO與董事會會面的頻率。美國聯邦貿易委員會也通過了適用於金融機構的類似規定，將於明年生效。

我們的研究表明，這些規則只是第一步。我們發現許多安全主管對無法參與高層戰略會議感到沮喪，除了提交年度報告外，與董事會幾乎沒有有意義的互動。一些人報告稱被其他高管邊緣化，甚至更糟的是，因為他們的工作與其他高管的優先事項相沖突而被解僱。具體來説，首席信息安全官（CISO）經常試圖減緩技術部署以解決安全問題。正如一位安全主管所説：“高管們仍然認為[安全部門]是一個只會説‘不’的地方，他們把我視為‘説不博士’。”

首席信息安全官的不滿程度可以從Ponemon研究所進行的一項全球調查中看出，其中51%的安全高管表示缺乏高管支持，53%的人聲稱高層領導不瞭解他們的角色，63%的人認為他們的預算不足。此外，64%的人報告稱，他們在彙報層級上比CEO低三級或更多。因此，根據Nominet的另一項研究，首席信息安全官的平均任期僅為26個月左右，這並不令人驚訝。

然而，根據我們對首席信息安全官、董事以及為董事會提供諮詢的網絡安全顧問的採訪，我們發現，首席信息安全官可以通過逐步但有意義的方式與董事會成員互動來提升他們的地位。如果他們能贏得董事們的支持，首席信息安全官很可能在高層管理團隊中獲得影響力，從而獲得更多的權力和資源。

“突然間，我們的高管、CEO及其直接下屬開始對網絡安全表現出更大興趣，因為董事會正在向他們提出質詢。”一位首席信息安全官告訴我們。

以下是受訪者提出的具體建議，幫助CISO成為高管層和董事會值得信賴的不可或缺的合作伙伴。

主動出擊

受訪者指出，太多CISO被動等待董事會傳喚，這是個錯誤——年度彙報週期的時間窗口過於有限，無法充分討論推進企業安全計劃所需事項。CISO應主動尋找機會與董事保持全年互動。

他們建議的方式包括：

• 瞭解你的董事。 與每位董事任職企業或其他董事會成員企業的安全團隊交流，洞悉他們的關注點和過往安全事件經歷。這些洞察能幫助CISO制定更具共鳴的溝通策略。

• 在常規彙報週期外保持溝通。 經CEO許可後，當重大網絡安全事件引發董事關注時，安全負責人可單獨聯繫董事進行説明。這種主動溝通能讓CISO在董事會質詢前澄清事件與企業的關聯性。

• 成為董事會的專屬"極客顧問團”。 有顧問建議CISO可主動表示：“作為新任CISO，我想派團隊成員為各位董事檢查社交媒體賬户安全"或"所有董事會成員是否都已啓用雙重認證？“這類看似瑣碎的服務能讓董事將CISO視為解決問題的專家，由此建立的信任將延伸至重大事項的決策中。

**• 為董事會成員提供“安全基礎”培訓課程。**許多董事可能願意接受首席信息安全官（CISO）設計的培訓以提高他們的網絡安全智商，特別是如果這些培訓與定期報告同步進行。

清晰溝通

除了更頻繁地與董事會互動外，首席信息安全官還必須用董事們能理解的語言進行交流。這意味着要傳達安全計劃如何與業務重點保持一致。例如，“這個風險重要嗎？”應該始終放在“它可能如何損害公司？”的背景下討論。

我們聽到的其他建議包括：

**• 避免提供過於詳細的細節。**典型的行業威脅報告充滿了統計數據，但這種詳細程度通常不是董事會想要的。這是因為他們在治理層面而非操作層面運作。一位首席信息安全官指出：“我花了很長時間才意識到，‘好吧，董事會並不關心我的漏洞管理項目。他們真的不關心。’”相反，董事會想知道的是：安全計劃是否在控制之中？它是否在進步？首席信息安全官是否實現了其路線圖上的目標？

• 不要利用恐懼作為槓桿。避免使用恐懼來吸引董事會的注意力——例如，通過描述最壞的可能結果。相反，通過理性、冷靜的討論，在董事會中培養對網絡安全風險以及您的團隊如何評估和消除這些威脅的更深入理解。

良性循環

通過有目的和主動的參與，董事會可以在與高層管理人員出現分歧或衝突時，將其力量借給安全團隊。一位安全主管告訴我們一個經歷，其中一位高管決定忽視首席信息安全官對產品過早發佈的擔憂，而是“接受風險”。首席信息安全官向董事會成員提出了同樣的問題，董事會成員告訴高管：“我們不在乎你的發佈時間表。去修復漏洞。”

當董事會站在安全主管一邊時，這向高管層傳遞了一個強有力的信息。這位信息安全官反思道，在董事會就此問題支持他後，他在高管層中的角色得到了提升。“其他高管突然意識到，我並不只是困在自己那個技術小圈子裏。作為信息安全官，我可以通過更廣闊的視角來[推動]公司的長期價值。”

萬斯博士是弗吉尼亞理工大學的商業信息技術教授和英聯邦網絡安全計劃研究員。勞裏博士是弗吉尼亞理工大學的會計學助理教授。可通過[email protected]聯繫他們。

刊登於2022年12月7日印刷版，標題為《企業領導者對信息安全官缺乏尊重。本不必如此》。