僅有 14%的 CISO 擁備擔任資安董事的特質
最近由 IANS Research、Artico Search 和 The CAP Group 共同進行的研究揭示,僅有 14%的 Chief Information Security Officer(CISO)擁有擔任資安領域董事所需的特質。該報告名為" CISOs as Board Directors -- CISO Board Readiness Analysis ",關注於細分美國市值排名前 1,000 間上市公司的 CISOs 在擔任資安董事方面的背景特質,並鑑別出關鍵特質以及提供公司在任命 CISOs 擔任董事時的建議。
特質鑑別
研究團隊透過深入分析現任擔任企業董事的 CISOs 個人簡介,鑑別出五個區隔資安專業董事職位候選人的特質:資安任期、廣泛擔任職務、規模、高等教育和多樣性。研究指出,這些建議的特質可結合形成全面的背景,對於尋求能夠有助於風險管控和治理方面的 CISOs 以及吸引董事陣容,發揮重要差異。
關鍵特質
Kakolowski 表示由於 Cyber-risks 的發生性越來越高,將他們納入董事會討論中變得愈發重要。如果董事會沒有將資安風險與其他業務風險相互聯動,則會忽視關鍵的風險領域。他補充道,The CAP Group 最近的一項量化研究還發現,90%的 Russell 3000 公司缺乏具有資安專業知識的董事。
正確的 CISOs 選擇
當涉及到五個重要特質時,Kakolowski 指出,跨職能專業知識和大型組織中的經驗具有重要性。他解釋說,擁有這些特質的 CISOs 更有可能在發展在職場上需要推展他們發展軟技巧和商業洞察力。Kakolowski 對這種資格和技能匱乏著了落實。他補充道,董事會的大部分價值在於將外部知識納入治理決策。廣泛經驗使得在較大範圍內做出明智決策成爲可能,超越了專業領域的專家所能提供的能力。
建議的策略
關於選擇適合的 CISOs 進入董事會,報告建議採取綜合性的搜尋策略,優先考慮多樣性,考慮董事會認證,探索替代性選項並尋找安全經驗豐富的候選人。報告中提出了一些建議,如賦予更多的權力和應對能力等等。IANS Research 表示除了普及資安,還應在區域中進一步加固促進區域科技和教育等方面的政策。
結論
隨著 SEC 推出新的安全性法律,將要求公眾公司正式披露其董事會成員的資安專業。然而該研究報告後驚讓人們警醒,空缺資安人才已成高懸的難題,因此建議企業應考慮多元化選擇。研究發現,大多數董事會承認有缺少 CISOs 的多樣性可選擇和特質考量的探索。此外儘管具有五個核心特質並不完全需要,但是這五個核心特質擁有跨領域專業知識,具有在高級管理層面上的經驗,這兩點對於從資安領域轉向董事會工作的 CISOs 至關重要。
