網路安全領導力再思考

Companies Need to Rethink What Cybersecurity Leadership Is
馬修.東恩 Matthew Doan
瀏覽人數:1547
本文提供給董事會和長字輩高階主管一個架構,指出企業領導人促進網路安全必須做以下三件事情:設定你對網路安全策略的意向;妥善設定網路安全職能的定位,讓它發揮影響力;針對你的需求,任用適當的網路主管。這個架構有助於緩和企業風險、減少與法規監管機關的磨擦、為科技和安全設置護欄,並提高競爭優勢。

對今日的企業來說,網路風險無所不在。然而,企業雖然為了保障系統安全和保護顧客而做了許多投資,但仍很難讓網路安全成為策略、營運和文化裡的一個重要而積極的部分。根本原因有二:(1)網路安全被視為後勤工作;(2)大部分網路部門領導人都沒有足夠條件可發揮策略影響力。網路部門領導人的平均任期只有18個月,因此有些事情顯然必須要改變。

一直以來,企業都期望資訊安全長(Chief Information Security Officer, CISO)和安全長專注在技術性的工作,對他們沒有其他期待。網路領導人面對的艱巨而重大的目標,是要保障企業安全,但是當企業在做策略性的重大決策時,例如商業模式、數位策略、產品組合、併購等,都是在決策做成後才想到網路安全。這表示企業錯失了這個職能可以提供的價值(他們的情況與行銷長不同,有關行銷長的情況,請參見本刊文章〈行銷長為何總做不久〉)。

這種做法在過去還可以接受,因為那時的威脅比較緩慢,也較不複雜,但是現在這種做法已經不再足夠。今日的網路領導人必須能夠讓網路安全納入全公司營運的各個環節、迅速回應威脅,並影響高階主管同儕。簡單來說,他們必須能夠領導。這表示企業必須雇用、栽培能勝任這項工作的安全職能高階主管。

現在該是時候,要讓董事會和長字輩高階主管針對網路安全的定位和網路領導人的角色,重新設定期望。根據智庫「新美國」(New America)所做的研究,加上我從事數十項諮詢顧問工作的觀察,我在此提出一個架構,指出企業領導人必須做哪些事來促進網路安全(資訊揭露:我在「新美國」擔任網路安全政策研究員)。

1.設定你對網路安全策略的意向。

你尋求達成什麼結果?每一家企業都面臨獨特的風險組合,因此並沒有一體適用的方法。然而,在設定策略時,所有公司都應該考慮少數幾個主要選項:業務連續性、品牌保護、法規遵循和獲利成長。你的企業環境會影響你的選擇;你應該思考的因素包括:法規壓力、曝險、顧客重視的事物等。例如,電力公司可能會優先重視業務連續性,在這個有成本壓力的市場上,要確保最長的正常服務時間,而物聯網製造商可能會把重點放在成長上,看好網路安全能力會是差異化因素,並以此為理由來收取較高價格。

企業領導人必須詳盡地分析他們建構網路安全策略的原因為何,並且清楚說明他們的選擇。選定的策略會向下擴散到各項營運活動,接下來這些活動會推動創造營運結果。你承受不起漫無目標或與別人無差異的網路策略所帶來的後果,因為其中牽涉到的利害關係太大了。

2.妥善設定網路安全職能的定位,讓它發揮影響力。

在這方面,「定位」可以區分為地點、權威和誘因。我們很容易就直接把網路安全納入資訊科技部門(由資訊長掌管),但是,把資訊科技營運作業和網路安全放在同一個部門,而且分享同一筆預算,可能會引發問題。

在決定網路安全應該放在哪個位置之前,應先決定你想要網路安全發揮哪些類型的影響力。企業在蔓延發展的生態系統裡運作(這些生態系統裡的數位基礎設施和數據資料參差不齊),而且網路安全必須依具體條件量身打造。例如,如果你的研發、製造和顧客支援有特別高的網路需求,你為網路安全選擇的定位就要能產生水平效應。賦予適當的權限給網路領導人和專案,也很重要;他們必須擁有政治影響力和高層的授權支持,才能在企業全面推動變革。

最後,網路安全不能在真空裡運作,因此企業領導人必須為適當的利害關係人提供誘因,鼓勵他們與網路安全部門密切合作。例如,在供應鏈管理部門,你或許要把網路安全「查核」,納入評估潛在業務伙伴的項目;至於在製造部門,你應確保廠房裡安裝的是安全的機器。我曾經合作過的一家全球製藥公司,為每個事業單位量身設計網路的關鍵績效指標(KPI),以激勵「更好」的行為,製造有益的同儕壓力,鼓勵高階主管與網路安全部門合作,並為有好好合作的部門主管設置獎金。

3.針對你的需求,任用適當的網路主管。

顯然,擔任關鍵領導職位的人選很重要,因此值得剖析應該要尋求哪些特質。董事會和長字輩高階主管在考慮和評估網路領導人的人選時,應該重視心態,勝於技術面的技能。檢視成功的網路領導人有哪些作為,就會發現心態特質特別重要,例如有寬廣的世界觀、了解神經科學如何提升領導力、熱中栽培他人,還有渴望學習。

這種心態與技術技能形成強烈對比,但是到目前為止,網路安全界仍然極為重視技術技能。雖然組織確實要求應具備重要的網路技術技能,例如網路安全、威脅情資和事件應變,但這些技能不應該是用來衡量網路領導人的標準。沒錯,領導人必須通曉這些技術能力,並交由他人去處理,但是領導人自己必須承擔別的任務:在商業策略、科技決策和企業風險管理上發揮影響力。

要實現這一點,他們必須與整個商業生態系統建立緊密的關係,同時建立、培植、賦權給團隊。他們必須把抽象的技術概念,轉化成可在邏輯面和情感面打動高階領導人的訊息,並吸引他們為此付出。這表示,就像最適合領導數位轉型的人,不見得必須是數位專家,同樣的,你的最佳網路領導人,可能是一位能力已受肯定的非網路領域高階主管,他了解公司業務、在全公司都擁有重要的關係,並能通盤理解科技。你的職責是要找到這個人,並確保他成為你公司裡一股有衝勁、能持續推動的力量。

從新美國智庫的研究和我自己的顧問工作當中,我看到這個架構可協助緩和企業風險、減少與法規監管機關的磨擦、為科技和安全設置護欄,並提高競爭優勢。我也看到,若要有具體的進展,公司領導人必須由上而下推動實質的計畫,否則組織的慣性過於強大,網路安全仍然會是沒有影響力的後勤活動。

我們已經過了網路安全的「打地鼠」階段,過去那個階段是要補強一次性出現的弱點。網路安全可以、也應該是企業成功的一個根本因素。但若要實踐這點,高階主管必須接受自己的角色是要在企業整體落實網路安全,以及培養適當的領導人來讓這個職能蓬勃發展。

(周宜芳譯)



馬修.東恩 Matthew Doan

波士頓顧問公司(BCG)Platinion事業部的網路與數位策略顧問,為全世界頂尖企業提供諮詢服務。他也是智庫「新美國」(New America)的網路安全政策研究員。他的興趣是解決科技與人類動態發展之間交集領域的問題。


本篇文章主題安全與隱私