資安長如何為公司創造更多資安紅利？

信任是商業成功的關鍵，而有效溝通是建立信任的基石，然今日有許多資安長（CISO）正面臨嚴峻的信任挑戰：他們努力想讓董事會理解真正的資安需求，卻因溝通不良而造成信任落差。

　■資安長積極VS.董事會消極

　為深入了解實際現況，我們委託Sapio Research訪問全球（包含拉丁美洲、亞太、北美、歐洲及中東地區）2,600名在各垂直產業內負責網路資安的IT領導人，其中包含100家台灣中大型企業受訪者。

　高達98％的受訪者對自己企業的資安韌性有絕對（56％）或相當（42％）的把握，而真正的韌性是企業即使遭受攻擊仍能照常運營，然卻有許多企業未成功強化資安與業務策略之間的連結─59％的受訪者已認知到資安是最大的商業風險，但仍有34％將網路資安視為單純的IT風險。

　有80％受訪者認為，董事會唯有在發生資安事件時才會採取行動，他們認為平均15萬英鎊（約新台幣600萬元）的財務損失才足以引起董事會的關注，這也彰顯出董事會對資安事件消極的態度。即便一次性的資安事件能引發高階管理層採取行動或加碼投資，缺乏具連貫性的策略規劃將導致企業採購了無法解決根本問題的單一面向產品、衍生出更多成本與更複雜的問題。

　　■量化資安策略價值，以消弭信任落差

　全球有79％、台灣更有高達96％的網路資安領導人表示在董事會的壓力影響下，不敢直接點出其企業所面臨的資安風險。原因包含董事會覺得他們重複碎念或嘮叨（43％）、被認為太過負面（42％）、甚至直接遭到否定而沒有機會進一步說明（33％）。

　事實上，比起CISO們枯燥的向上彙報目前的資安危機，董事會真正想知道的包括：一、資安如何支援業務目標？二、資安的投資報酬（ROI）如何？三、新的數位轉型計畫隱含著什麼樣的資安風險？

　無法回答這些問題的CISO將面臨嚴重的信任落差。反之，有46％ 的受訪者表示，當能夠明確量化其網路資安策略的價值時將會受益匪淺，除了受到更多肯定外，其他好處還包括：被授予更多責任（45％），工作被視為更有價值的職務（44％） ，獲得更多預算（43％），被納入高層決策圈（41％）。

　■提升資安話語權的關鍵

　超過半數（58％）的受訪者認為，他們需要提升自己的IT溝通技巧來改善現況，而關鍵是能提供一致且容易消化的量化資訊，協助高層對企業資安風險的理解。像是「攻擊面風險管理」（ASRM）平台這類的資安工具，即可讓資安團隊能針對企業數位資產現存弱點、跨防護、偵測及回應做統整的風險管理，並透過管理儀表板（executive dashboard）的形式呈現，提升CISO的溝通層次。

　當然， CISO也需要改善溝通技巧來縮短信任落差，幾項要訣包括：一、使用淺顯易懂的語言，少用簡稱和術語。二、將資安計畫與業務目標做連結。三、聚焦於具體的風險上。四、引用真正相關的資料與指標。五、即時觀察風險情勢的變化並向董事會做簡短的彙報。六、花心力與董事會成員建立關係網絡。

　透過上述建議，我相信企業IT領導人將能為公司創造更多「資安紅利」，帶來如提高營業效率、改善合作夥伴關係、創新、提升獲利、獲取更多資料洞見、吸引更多人才和客戶等益處！