財務長,別小看網路風險

CFOs Don't Worry Enough About Cyber Risk
史帝夫.文茲 Steve Vintz
瀏覽人數:856
駭客攻擊會讓你付出昂貴的代價。

每一家企業的高階主管團隊和董事會,目前都在自問一個有關網路風險的問題:我們可以採取什麼不同的做法,以避免成為下一個Equifax、雅虎(Yahoo)或標靶百貨(Target),並保護我們的股東價值?

答案在於徹底重新架構最高管理階層中的一個主要角色,那就是財務長的角色。財務長只專注於管理公司的財務風險,這麼做現在已經不夠了,或者不再被接受。在這個新時代,財務長必須與資訊安全長合作解決網路曝險落差的問題,也就是已處理與未處理的已知威脅之間的曝險落差,之所以會有這種落差,可能是因為安全工具不足,或威脅躲過偵測。落差愈大,發生事故的風險就愈大,可能得花費數百萬美元善後,並造成業務損失和股價下跌。

最具風險意識公司的財務長,目前運用以下的策略。

與資訊安全長攜手合作。財務長必須與資訊安全長合作,以了解公司的安全風險,以及與其相關的所有財務成本。目前,大多數財務長和安全執行人員,在加強公司對抗網路攻擊方面缺乏聯繫:最近的資料顯示,39%的資訊科技人員不認為自家公司的高階經理人,了解安全漏洞可能對公司聲譽造成的衝擊。財務長若能成為安全團隊的積極成員,而不是被動的觀察者,再搭配執行長和其他決策高層,就能透過更加聚焦和有效的網路安全技術組合,大幅縮減營收的損失。一些財務長正和自家的資訊安全長和資訊長合作,實際模擬公司的網路曝險落差。最有效的合作關係,會在每週進行網路曝險檢討。

從你的網路安全組合中創造紅利。儘管近年來企業的安全支出已有增加,但安全方面的投資仍然嚴重不足。資訊科技預算通常占公司營收的3%到7%,而安全預算通常占資訊科技支出的5%。

也就是說,財務長若投資公司的網路安全,會有好處。2016年的一份報告發現,過去兩年間,資訊安全方面投資較多的公司,遭受到的資訊外洩事件較平均值少了6.8次,節省超過五百萬美元。不過,資料和連結裝置的爆炸性出現(根據顧能公司〔Gartner〕的資料,目前有82億個物聯網和智慧型裝置),持續擴大了公司遭受的攻擊面,而這些公司不久前才相對受到安全的周邊保護,直到最近情況有了改變。這些新裝置代表了效率和風險之間的妥協,因為在很大程度上傳統工具無法檢測到這些裝置。需要有新的方法,才能處理今日數位商業領域的現實,以及不斷變化的威脅水準

對財務長很重要的一點,是應了解這些新的風險在哪裡。我們不能再像過去那樣忽視安全預算和分項項目;我們必須參與思考支出相關費用的策略,以及處理人員與流程的策略。公司不應期待我們能了解這種技術或它運作的原理,但我們應該了解它為什麼很重要,包括了解每一項新投資,在消除網路曝險落差和奠定公司長期成功當中扮演的角色。這必須讓資訊安全長和資訊長負責一套多角化的資安投資策略,這套策略應與當下的安全議題和長期的數位轉型目標協調一致。更了解網路曝險落差和相關財務風險之後,財務長、資訊安全長和資訊長可以確保我們的資安技術組合能夠長久運作。以這種方式投資我們的安全預算,不僅能改善我們的整體安全情況,更能創造長期紅利。

對網路風險負責。考慮到網路風險與財務風險之間愈來愈不同的新關係,財務長最終應該對網路風險負責。根據最近的一項研究,資訊外洩導致公司股價平均下跌5%,平均營收減少340萬美元。而且,一旦歐盟的「個人資料保護規範」(General Data Protection Regulation)自2018年5月開始生效後,資料外洩可能導致高達兩千萬歐元的罰款,約相當於前一個會計年度全球年營業額的4%。

由於這些風險,財務長不能單打獨鬥,而應該和其他相關人士密切合作,包括與管理這個風險有明確和既定利益的人,像是資訊長和資訊安全長。為此,最具前瞻性的執行長最終會考慮把安全措施和成功因素,納入財務長的獎金考量因素,並要求財務長和資訊安全長定期向董事會更新資訊。

今日網路事件造成的財務和業務衝擊,使得財務長必須努力尋求解決方案,否則就會讓顧客資料和數兆美元面臨風險。

(劉純佑譯)



史帝夫.文茲 Steve Vintz

網路安全公司Tenable的財務長,負責監督全球的財務、法律、人力資源和資訊科技。他之前曾擔任Vocus集團的執行副總裁暨財務長。


本篇文章主題安全與隱私