別把法遵當資安保證！董事會鎖定人才與AI治理，打造競爭韌性

到了現在，大多數企業董事會都已相信投資網路安全有其必要。董事會知道，嚴重的網路安全事件代價高昂，會損害品牌，可能重創營運、瓦解消費者信心，甚至引發攸關企業存亡的疑慮。然而，矛盾的是，隨著董事會愈來愈重視網路安全，他們是否反而愈來愈不擅長治理這項議題？網路安全問題逐年惡化。舉例來說，去年春天發布的2024年聯邦調查局（FBI）犯罪報告顯示，網路犯罪造成的損失比前一年增加33％。

根據我們以董事會為核心的大量研究，包括深入訪談超過75位董事與必須面對董事會的高階主管，我們擔心，儘管董事會更加重視網路風險，他們降低這類風險的能力卻只略有提升。

在我們對董事會網路安全治理的觀察中，有3個突出因素正在推動這項問題：一、缺乏網路安全專業；二、董事會層級的AI討論忽視安全；三、董事會誤把法遵當成安全。

這些問題並非無法克服。但只要這些問題持續存在，董事會就是在招致災難。以下是董事需理解自己在引導網路安全工作時扮演的角色，以及他們必須做出的改變。

缺乏網路安全專業

許多企業董事會都明白自己的網路安全專業相當薄弱。近期針對62家公司、239名網路安全委員會成員的一項研究發現，擁有正式網路安全資歷的人少之又少：只有...