Darwinium執行長 Alisdair Faulkner 探討了 CISO 的角色在過去十年中發生了哪些變化。 Faulkner 分享了 CISO 如何與董事會溝通、如何克服諸如過於技術性的語言等常見陷阱，以及如何將網路安全定位為業務推動力而非成本中心的深刻見解。

(1) CISO 角色的演變：從技術守門人到業務推動者

Faulkner 指出，過去十年來 CISO 的角色已從「資安技術管理者」轉型為「企業風險與信任的策略領導者」。董事會不再只關心資安事件的技術細節，而是關注資安如何影響營運、品牌、法規遵循與創新速度。CISO 若仍以技術語言溝通，將難以獲得高層支持。

他強調，現代 CISO 必須具備「雙語能力」：既能與技術團隊深入探討漏洞與架構，也能用業務語言向董事會說明風險、機會與投資回報。

(2) 董事會溝通的常見誤區

影片中列出 CISO 與董事會溝通時常見的三大錯誤：

• 過度技術化：使用漏洞編號、攻擊向量等術語，導致董事會無法理解風險的實質影響。

• 缺乏業務連結：未能將資安風險與營運、財務、品牌等指標連結，使資安被視為「成本中心」而非「價值驅動者」。

• 報告缺乏情境：僅呈現事件數量或工具效能，未說明風險趨勢、外部威脅情境或競爭對手的資安策略。

Faulkner 建議 CISO 應以「風險敘事」為主軸，說明資安事件如何影響業務目標，並提出具體的風險緩解策略與預算需求。

(3) AI 的雙面性：創新工具與潛在威脅

影片中深入探討 AI 對資安與董事會溝通的影響。Faulkner 認為 AI 是「雙面刃」：

• 作為工具：AI 可用於威脅偵測、異常行為分析、資安自動化等領域，提升防禦效率。

• 作為威脅：AI 也被攻擊者用於生成針對性社交工程、提示操控（Prompt Injection）、自動化滲透測試等。

董事會對 AI 的興趣高漲，但往往低估其資安風險。CISO 應主動提出 AI 使用的風險評估報告，並建議導入 AI 安全治理框架（如 NIST AI RMF、ISO/IEC 42001）。

(4) 建立信任與策略對齊的實務建議

Faulkner 提出五項實務策略，協助 CISO 與董事會建立信任並推動資安策略：

• 使用業務語言：以「營收風險」、「品牌信任」、「法規罰款」等詞彙取代技術術語。

• 建立資安 KPI：如平均事件回應時間、風險暴露指數、合規性達成率等，讓董事會可量化資安成效。

• 情境式報告：以真實攻擊案例或模擬演練結果說明風險，提升董事會的風險感知。

• 主動教育董事會：定期舉辦資安簡報或工作坊，提升高層對資安的理解與參與度。

• 將資安納入創新策略：說明資安如何加速雲端轉型、AI 部署或新產品上市，而非阻礙創新。

(5) 資安不只是防禦，而是競爭優勢

影片最後強調，CISO 若能成功將資安定位為「業務推動者」，將能爭取更多資源、提升組織韌性，並在市場中建立差異化競爭力。董事會不再只是「批准預算」的角色，而是資安策略的共同制定者。

Faulkner 認為，未來的 CISO 不僅要懂技術，更要懂人、懂風險、懂溝通。唯有如此，資安才能真正成為企業永續發展的核心支柱。