企業面臨的網路安全威脅和資料隱私法規日益增多,範圍涵蓋如何處理人工智慧和大型語言模型,以及對來自間諜組織和惡意行為者的駭客攻擊的擔憂。然而,根據高管招聘公司Heidrick&Struggles的報告,大約41%的企業尚未為其資訊安全長(Chief information security officer,CISO)設立繼任計畫。
Heidrick&Struggles的合夥人兼全球資訊安全實踐負責人Matt Aiello強調,缺乏CISO繼任計劃將讓企業處於風險當中,而這個風險其實可以輕易降低。因為如果CISO職位因任何原因出現空缺,企業將面臨嚴重的業務後果。
沒有建立網路安全繼任計畫的風險
許多企業的繼任計劃通常只有一個人,而這個人很可能是不合格的。Aiello表示這是因為CISO主要依「職位角色」雇用團隊成員,例如安全營運、應用程式安全或法遵專家,而非未來的領導者。若組織沒有設立網路安全繼任計畫,將使其業務容易受到當前威脅和法規環境迅速變化的風險影響。但是CISO這個角色要在企業內部培養並不容易,因為這要兼顧日常工作與培訓需求,因此企業更容易從外部尋找下一個CISO。然而,這個過程仍然需要大量資源,包括時間、金錢和努力。
Deloitte咨詢公司的風險和財務諮詢負責人Daniel Soo指出,當CISO離職時,將損失寶貴的機構知識,這可能會阻礙公司應對迅速變化的網路威脅的能力。進而導致資安運作延遲,關鍵資安風險管理活動中斷,以及阻礙資安事件應對和決策。
如何培養潛在CISO的強大渠道
組織在新的CISO上任後,必須立即開始規劃繼任計劃,並涵蓋整個組織領導層及董事會的參與。這樣可以全面分析目前的重點和風險,為新的CISO在人才和資源等方面打下基礎。繼任計劃還應該預見未來安全需求,考慮業務和技術環境的演變。
任何繼任計畫的關鍵部分是建立強大的潛在接班人儲備,以保護組織免受風險,無論是現在、短期還是長期。另外,企業應該建立文件記錄CISO職位的主要職責和任務,這有助於企業考慮CISO角色的現在和未來應該具備的職責。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:Bob Violino (2023). A critical cybersecurity backup plan that too many companies are ignoring. CNBC.
檢自:https://www.cnbc.com/2023/07/24/the-critical-cybersecurity-backup-plan-too-many-companies-are-ignoring.html(Aug. 6, 2023)
