當投資人、企業合作夥伴、消費者及員工對環境、社會及治理(environmental, social and governance,ESG)問題的興趣逐漸增加,資安長將需要擬定能符合組織 ESG 目標的安全與風險策略。這是資安長職責更進一步的發展。
KPMG網路服務負責人 Matthew Miller 去(2021)年收到某位客戶資安長的首例請求:該名資安長想就如何回覆董事會成員關於他對 ESG 的看法及他是否聚焦與此這類問題,尋求 KPMG 的建議。 Miller 表示,這情況也是該名資安長第一次遇到。 Miller 表示,他很快便意識到這位資安長是參與自家組織 ESG 工作少數、但是為數漸增的安全領導人之一。 「現在還為時過早,但是那類對話已經開始展開了,而且不會消失,」Miller 表示。
ESG 代表一家公司關於環境、社會及治理議題的政策與行動。對 ESG 議題感興趣曾經侷限於決定資金投向何處的投資人。在對 ESG 感興趣的較早期日子裡,投資人通常從評估價值的視角來看待 ESG,研究某家公司在那些個別領域的投入,以確定那些做法是否有助於、或阻礙它潛在的未來收益。 但是人們對 ESG 的興趣多年來不斷擴展。是的,投資人會持續考量某家公司圍繞著環境、社會與治理議題所採取的行動如何影響收益。
不過,如今有些人還會評估組織的 ESG 政策,以確定它們是否與投資人本身在該領域的既有原則相吻合。有些公司現在也會依據 ESG 指標評價其它公司 ─ 例如企業合作夥伴及供應商,還有併購標的。 對 ESG 的興趣甚至蔓延到一般人群。消費者在決定把錢花在哪裡時,愈來愈會聚焦在組織的 ESG 政策,而員工決定在哪裡工作時,也會把它納入考量。
數據會說話
統計數據證實各利害關係人給予高度的關注。 根據專業服務公司 PwC 的《2021年全球投資者 ESG 調查》(2021 Global Investor ESG Survey)顯示,79% 受訪的投資者認為,公司管理 ESG 風險與機會的方式,是他們投資決策的一項重要因素。 同時,PwC 的《2021年針對 ESG 的消費者情報系列調查》(2021 Consumer Intelligence Series survey on ESG)發現,83% 的消費者表示公司應該積極塑造 ESG 最佳實務,而 86% 的員工偏好為關心他們所關心的議題的公司工作。
如同 Miller 可以證實的,這一切都對資安長都是有意含的:由於大家對 ESG 的興趣日益增加,資安長將看到他們的職責進一步擴展。他們需要擬定安全與風險策略,以符合組織的治理目標。他們必須向利害關係人闡明他們的策略如何支持那些 ESG 目標。而且,他們必須在需要時協助他們的組織評估其它公司 ESG 的立場。
「治理及網路安全是董事會上的重要話題,」南方衛理公會大學(Southern Methodist University)考克斯商學院(Cox School of Business)金融系實務教授暨高階管理教育及研究生專案副院長 Shane Goodwin 表示。
資安長職責的進展
根據 Goodwin、執行顧問及企業安全專家的說法,在資安長的職責中加入 ESG 任務,是該職位本身不斷發展的一環。
比起過去,有更多的董事會及高階管理人士將安全主管納入企業風險策略的對話中;這關係到持續從做為後台功能的網路安全、轉為做為策略促能者的網路安全。 「這只是資安長角色又一次的疊代,也是我們要加入的另一項任務,」Oracle 顧客服務副總裁暨資安長,以及治理協會 ISACA (Information Systems Audit and Control Association)董事會成員 Brennan P. Baybeck 表示。
例如,Baybeck 之前擔任某公司資安長職位時,他會評估收購標的公司的治理計畫。 這些職責反映出當今網路安全的重要性、資安長的重要性,以及愈來愈多關心安全、資料隱私、法規遵從及其它相關議題的利害關係者。
「圍繞在治理與 ESG 的對話必須有資安長的參與,因為沒有人願意投資一家將發生重大違規或意外事件的公司。而且,你不會希望企業合作夥伴未如規定般上緊發條,」Russell Reynolds Associates 資安長實務負責人Ahmed Jamil 表示。「儘管其中一些正在進行的對話並非是以 ESG 為主,但是資安長也會提出同類型的問題。」 Jamil 認為,資安長在 ESG 領域的主要職責,是為管理階層及董事會說明公司本身的網路安全狀況、改善的策略及彈性能力,還有,如何管理所有這一且及如何與企業治理中的其它規則、政策與控制保持一致。 「資安長被要求展示他們有成熟的程序來管理網路意外事件,以及他們、顧客及合作夥伴的聲譽風險。這並不是什麼新鮮事,只是隨著大家對 ESG 的關注日益增加而躍上台面,」Miller 表示。
他繼續說道:「資安長過去 20 年來建立了理解風險、報告風險,並建立透明度及和董事會討論風險的能力。有在乎風險透明度的消費者及投資者的地方,就會有 ESG。這就是資安長開始有關信任的對話的機會之所在。」
建立顧客的信任
Miller 給了一個假設性的例子: 零售業的資安長被置於很好的位置,可以成為實施安全系統,並強調它如何保護店家不受虛假信用卡的詐騙的那個人,同時減少不必要的交易遭拒次數,並同步與顧客建立信任。
該資安長可以提供系統,當顧客的信用卡在銷售終端機被標註為存在可能的欺詐時,該系統會向信用卡擁有人發送簡訊,並要求確認該筆交易。 如果信用卡擁有人實際上便是該名顧客,那麼顧客就可以避免因銷售遭拒而感到沮喪,得到他或她想要買的東西,而且也感覺受到店家妥善的保護 ─ 所有這些都是在同一時間發生的。 如果信用卡的擁有人和消費的顧客不是同一位,擁有人也會看到店家正在保護他或她。
那個例子顯示如今的資安長如何被期待解決治理的各個面向 ─ 欺詐偵測、資料隱私、業務支持、顧客參與與信任。大家期待資安長不僅要提供技術能力,還要了解並說明風險不足之處,以及所有環節如何滿足利害關係人的期望。 然而,許多資安長還沒走到那個境地。
根據 Miller 及其他專家的說法,參與組織的 ESG 要求的資安長,會是那些具備成熟安全實務的資安長。 這些資安長已經向他們的董事會展示資訊,並展示他們的安全實務如何符合治理,以便讓那些董事會成員可以與投資人及其他感興趣的利害關係人分享那類看法。 正如 Shane 所言:「治理良好的公司將確保資安長可以直接與董事會對話,無需透過執行長或資訊長充當傳話筒。」 界定新標準 許多人預期 ESG 的要求在未來幾年會逐漸增加,資安長在該領域將會承擔更多責任。「我認為,我們最終會看到規則和法規,促使資安長及網路與風險人員提出一套持續且真正理解與網路相關的 ESG 的方法,」Miller 補充道。
KPMG 在其 2021 年的報告《網路安全:沒有它就別報告 ESG》(Cyber security: Don’t report on ESG without it)裡表示,各產業對 ESG 報告的要求日益強化,而且對公司如何管理、使用及保護人們的資料的透明度與信任度的需求也愈來愈大。此外,KPMG 的報告指出,企業網路、遵循及風險政策也與 ESG 的社會與環境領域相互作用——這項事實進一步推升了資安長參與 ESG 活動的必要性。 確實,Goodwin 預期這類 ESG 任務的頻率與重要性會增加 ─ 對公司及資安長而言都一樣。
「這不是插曲,而是一種典範轉移,」Goodwin 表示,他同時還擔任國家企業董事協會(National Association of Corporate Directors)的董事會領導會員,以及非營利、無黨派的研究機構全球企業中心(The Center for Global Enterprise)的應用企業治理學會(The Applied Corporate Governance Institute)的負責人。 不過,他和其他人表示,企業及其資安長都處於此一轉變的初期階段。因此,雖然所有資安長都理所當然地身負安全之責,但是只有少數會和他們的董事會及高階主管專門針對 ESG 任務相互合作。
那讓他們看起來像是個例外。然而實際情況是,他們其實是先驅者。 「我不認為他們是異類,他們是處於領先地位,」Baybeck 表示,並指出「積極參與風險識別及企業風險管理計畫的是更為革新的資安長。他們將是幫助界定資安長該是如何的人。這些資安長有助於界定新標準。」