對於有意擔任董事會職位的資安長來說,重點在於培養與其資安知識相輔相成的適當技能。達成這個目標的方式有很多,例如涉足新產業或擔任顧問角色,同時也可以透過培訓和取得認證來不斷提升自己的能力。
文/Ericka Chickowski‧譯/Christy
受到即將實施的監管要求和全球網路風險的刺激,企業的董事會正在積極尋找具備資安專業人才。因此,企業治理專家認為,擁有全面技能的資安長將很快成為董事會招募的熱門人選。
然而,並非所有資安長的履歷都是一樣的。缺乏董事會經驗的新進資安長,在擔任董事職位之前,可能需要一段時間來加強他們的風險管理經驗和溝通技巧。而即使是經驗豐富的資安主管,也可能需要努力擴展他們的技能和企業治理專業知識,以便能達到擔任董事職務的要求。
這就是為什麼有意擔任董事會職位的資安長需要採取策略性的專業發展方法。這意味著資安長必須將自身獲得的新經驗、治理教育知識和人脈網路做出適當的整合,藉此提升自己的聲譽,並且吸引那些有空缺職位董事會的目光。
「這是一條充滿汗水和努力的道路,」南加州大學 Marshall 商學院教授,同時也是 Digital Directors Network(DDN)執行長 Bob Zukis 說道。DDN 致力於協助企業改進數位和資安風險治理。「通往董事會的道路上,沒有捷徑可走。」
有意擔任董事會職位的資安長,應該具備的不僅僅只是資安經驗
在過去十年左右的時間裡,資訊長為了贏得董事會的認可,經歷了一場艱苦的奮戰,更不用提想要加入董事會的行列。但隨著越來越多的資安主管提升了他們作為風險顧問所帶來的價值,並學會如何協助企業應對數位轉型所帶來的資安風險,資安長的地位在企業層級中逐漸提升。
根據安全顧問公司 Coalfire 的《2023 年 CISO 影響力報告》,現在有超過一半的資安長至少每季向董事會提交一次績效更新報告。該報告顯示,在過去兩年中,每月向董事會提交報告的資安長比例明顯增加,從 18% 躍升至 28%。
然而,治理專家和監管機構相信,即使資安主管們定期向董事會進行報告,這仍不足以讓董事會完全了解其面臨的網路風險。在全球範圍內,對於上市公司和企業董事會而言,越來越多的動力驅使他們開始招募具備相關資安專業知識的董事,這同時也符合董事會尋找具備專業技術知識新成員的大趨勢。領導力顧問公司 Spencer Stuart 的最近一項研究報告指出,大約有三分之一年齡在 50 歲以下的「新世代」董事具備技術背景。
Chenxi Wang 長期作為一名資安專家和風險投資家,也是這波趨勢的一部分。早在 2019 年,她便受邀加入美國能源和建築材料公司 MDU Resources Group 的董事會。她表示,該公司對她的資安專業知識以及與高科技產業的廣泛聯繫感到興趣。
她告訴安全長:「作為一家相當傳統且歷史悠久的公司,他們實際上非常認真地想將多元化的思維方式和背景引入董事會。」「並且公司希望能夠找到一位與西岸高科技產業有關聯的人,為他們提供中西部能源公司可能缺乏的觀點和見識。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
在這股資安長擔任董事會職位的招募浪潮中,許多情況都是自然而然地發展,然而,美國證券交易委員會(SEC)即將實施的規定也對這一趨勢起到了加速的作用。SEC 會透過即將生效的規定來公開點名批評那些缺乏資安專業能力的公司,這些規定將迫使上市公司詳細揭露其董事會中是否有人具備資安專業知識。SEC 監管機構將要求這些揭露必須詳細敘述董事在資安領域的經驗與背景。
Zukis 表示,僅僅讓現有的董事參加幾堂安全意識課程並不足以滿足這項法規的要求。他解釋說:「SEC 需要的是實際應用經驗 ,那些曾經在這個職位上工作過的人。」 他還相信,這項法規將對全球產生影響。「隨著 SEC 的發展,全球也會在這些問題上做出相對應的調整。當 SEC 從監管的角度帶頭處理這些問題時,其他市場也會跟著效仿,」 他說道。要求董事會揭露資安專業知識的這種推動,將使所有董事會不得不重新評估自身情況,並自問:「為什麼我們還要假裝我們不需要這樣的董事參與?」
隨著組織進行這些討論,資安長、資安審核員、資安分析師和其他風險高層將變得更具吸引力,而成為擔任董事會成員的理想人選。Chenxi Wang 說道:「我認為那些成熟的資安長,那些真正同時具備商業視角和技術視角的人,是真正準備好擔任董事會成員角色的人,他們將以自己的經驗來指導企業,不僅作為技術領袖,更是商業領袖。」
然而,僅憑擁有資安經驗並不能讓每位資安長都輕易地進入董事會。「成熟」這個詞是一個很重要的限制條件。
資安長準備好加入董事會了嗎?
長期擔任資安長的 Dawn-Marie Hutchinson 表示,資安長的角色有太多的可變性,很難判斷「典型」的資安長是否準備好加入董事會。「考慮到職位描述、薪資、匯報關係、以及與董事會的持續溝通和接觸都存在巨大的差異,很難一概而論我們是否已經準備好,」Hutchinson 說道。她目前擔任位於英國 BAT 集團的資安長,同時也是國家企業董事協會(NACD)的認證董事。雖然她目前尚未在公司董事會任職,但已經在非營利組織的董事會中擔任董事。「董事的職責是監督而非管理,因此資安長的角色若越具有操作性和戰術性,轉換成監督職能就可能會面臨更多的挑戰。」
根據 M.A. Pfister Strategy Group 的執行長兼首席董事顧問 Mark Pfister 表示,他的公司觀察到資安長近來非常積極參與他們的國際董事會主管能力認證訓練計畫(IBDC.D)。他指出,目前存在著「資安長順利轉型至董事會的需求非常高,但相對來說準備程度還不夠充分」的現象。
同時,Zukis 也說道,實際上,準備加入董事會的合格資安長數量比企業界所認為的要多得多。 IANS Research、Artico 和 CAP Group 本月公布的一項研究報告支持了這一觀察結果。這項研究引起了廣泛注意,在 Russell 1000 指數報告中,只有約 14% 的資安長是完美的董事會候選人,擁有董事會現今尋求的所有(或接近所有)特質:深厚的領域專業知識、高等教育背景、跨領域的企業經營經驗、全球企業經驗以及多樣化的背景。然而,更進一步深入研究顯示,整整 47% 的資安長至少擁有三個或更多的關鍵特質來擔任董事會職位。
Zukis 表示:「這就像其他專業領域一樣,並不是所有的審計合夥人或財務長都適合擔任董事會職位。」他繼續說著:「因此,有一些資安長已經準備好、願意且能夠擔任董事會職位,這比他們所得到的認可還要更多。而有些人則可能需要透過適當的培訓、輔導和指導來實現這一目標。還有一些人則需要更多的經驗和培養才能夠達到這個水準。」
公司治理問題和程序培訓
即使那些在資安領域擁有深厚專業知識且與不同業務部門合作經驗豐富的資安長,可能仍需要進一步的發展和教育,以了解企業治理問題和程序。這時,執行層培訓和認證的作用就顯得尤為重要,協助他們快速適應董事會職位的要求。
在這方面,最著名的認證和教育計畫之一可能是國家企業董事協會(NACD)的董事資格認證計畫。Hutchinson 表示,這對她來說是一個很好的複習,讓她重新學習了早年在攻讀 MBA 時獲得的企業治理知識。她說:「這些學習有助於提醒我董事會的目的,特別是在如我們所預期 SEC 推出新規則的情況下。」
不過,這只是眾多專門為資安長提供的培訓計畫之一,這些將有助於填補知識缺口並增強他們在企業治理方面的實力。像西北大學 Kellogg 商學院、賓夕法尼亞大學 Wharton 商學院和哥倫比亞大學等商學院都提供企業治理執行層計畫。在國際上,還有許多課程和計畫,例如歐洲工商管理學院(INSEAD)的國際董事計畫、企業治理學會(Corporate Governance Institute)的企業治理文憑、董事協會(Institute of Directors)的特許董事計畫,以及前面提到的國際董事會主管能力認證訓練計畫(IBDC.D)。這些計畫都能幫助資安長增補知識和加強企業治理能力。
與此同時,Zukis 的 DDN 正在專門幫助資訊長和其他技術專家,提供一個針對科技高層的綜合性大師級董事會準備課程,這是全球為數不多專注於這個細分領域的計畫之一。
Palo Alto Networks 的資安長、資深安全從業者 Bob West 指出,參加這樣的課程讓資安長有機會深入了解董事會治理的全部責任範圍。他正在有系統地建立自己的職業發展軌跡,期望最終能獲得一席公眾董事會的位置。即使擁有豐富的安全從業者和顧問經歷,以及 MBA 學歷,他仍然花時間參加執行層培訓課程來提升自己的能力。目前,他正在參加 KPMG 提供的董事會預備課程,而去年他則是選修了 Wharton 商學院的企業治理課程。
他說:「這些課程讓我在踏進董事會會議時,為我提供了另一個視角,這些都是你需要關心的事情。」「我相信這類課程對所有人來說都非常有幫助,它讓你對董事會工作有所了解,或許足夠讓你做出一些有影響力的決策。」
建立正確的專業經驗組合
儘管董事會課程和認證可以提供必要的助力,但沒有什麼能勝過實戰的經驗。所有專家都一致認為,在考慮參加高階培訓之前,資安長應確保他們定期接觸各種專業經驗,讓他們接觸到企業層級的決策過程。
IANS 的研究顯示,最大的專業差距之一就是跨職能專業知識。研究表明,只有約三分之一的資安長具有豐富的戰略性董事會層級決策經驗,與目前擔任董事會職位的資安長形成鮮明對比,其中有 71% 的資安長擁有這種跨職能的專業背景。
「實踐經驗總是比理論經驗更具有價值。資安長如果能擴展自己的角色、視野和價值主張,跨越整個組織,將從實踐經驗中受益匪淺,」Zukis 說道。「學術課堂和高階培訓是次要的選擇途徑。這些課程是有益的,但不能取代實踐的經歷。」
在這個走向董事會的路上,最明顯的第一步是確保資訊長與董事會成員建立了牢固的關係並從這些經驗中學習。Hutchinson 表示:「如果資訊長沒有定期與董事會進行交流,甚至沒有與董事會建立關係,那麼他們需要在升任董事會成員之前累積這樣的經驗。」
對於目前處於更多戰術性職位的資安長來說,進入董事會的方法是開始尋找機會,承擔更廣泛的企業風險責任,而不僅僅侷限於典型的資安威脅。Chenxi Wang 說道,這可能是資安長準備擔任董事會職位最重要的方法之一。
Wang 表示:「我認為資安長應該考慮成為公司的風險長。不論是否擁有這個頭銜,這都是一個非常好的目標。」「透過這樣的轉變,你將獲得與不同業務部門以及與不同視野觀點(包括法務、合規等)合作的經驗。這些互動將為你在董事會任職提供正確的心態和經驗。」
她表示,在不同行業之間進行橫向轉職也是一個不錯的想法。「如果你是某個特定行業的資安長,而後你跳槽到另一個行業,你就會面臨到不同的風險,這對擴展你的視野非常有益,」Wang 解釋道。她知道有一些資安長透過轉換到不同行業來增強他們的經驗。「因此,他們對於資安風險和其他風險都有了非常豐富的觀點。」
擴展視野的方式也可以透過轉向顧問工作,並進入供應商領域來建立商業專業知識,就像 West 所做的那樣。他曾在金融服務組織擔任過多個資安長職位,但同時還在 Deloitte 和 Ernst and Young(EY)等公司累積多年的顧問和管理經驗,他表示這些經驗幫助他學會了與董事們溝通的「正確方式」。
他說:「你越是能夠增強自己在商業策略和整體業務營運方面的能力,就越好。這對你將非常有幫助,因為你不希望在董事會上只擁有一招半式。你不想成為那種在整天的討論中只有 10 分鐘能提供價值的人。你希望能在整個董事會討論中都能提供價值。」
他還透過擔任非營利組織的董事會成員來積累經驗。其中最受重視的經歷是在美國田徑基金會(USA Track & Field Foundation)的工作,他解釋道,在這裡,他與來自美國運通、黑石集團和納斯達克等組織的多位高級執行長一起服務。「我從中得到的啟示是,這些執行長在他們的公司董事會上都非常嚴謹,」他說道。「因此,這讓我深刻理解到紀律嚴明的董事會是如何運作的。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)