為什麼網路安全應該成為每家公司董事會的首要任務—Serhii Mikhalap 的觀點
導言與背景
Serhii Mikhalap 是資深資安專家,曾任烏克蘭國家資安指揮中心分析師,負責對抗 APT(Advanced Persistent Threat)攻擊,並追蹤其對供應鏈的長期滲透路徑。隨後他轉入企業界,建立並管理 SOC(Security Operations Center),服務金融科技與加密貨幣等受嚴格監管的領域。2024 年,他共同創辦資安服務新創,提供滲透測試、數位鑑識與風險評估等服務。這些經歷讓他深刻理解資安不只是技術問題,更是策略與信任的核心;而這種信任,必須從組織高層開始建立。於 2022 年,他獲頒烏克蘭國家「Znak Yakosti(品質標誌)」獎章,2023 年則榮獲「高聲譽獎」,均肯定他在資安應變、策略規劃、教育訓練與倫理經營上的表現。
為什麼資安要成為董事會議題
- 資安等同戰略風險管理:Mikhalap 強調:「網路風險即策略風險」,董事會管理的是整體風險,而資安如今已是重大風險的一環。如果董事會對資安一知半解,就容易導致預算分配不佳、應變計畫不足,甚至過度依賴廠商技術。
- 資安需具備專業語言與指標:他建議公司應建立類似財務或法務的資安KPI與報表制度,並由 CISO 或外部資安專家定期向董事提供簡明報告,內容涵蓋合規要求、應變準備度、投資優先順序、威脅態勢及關鍵資產暴露程度。
- 不作為的代價:信任與商機流失:Mikhalap 提出,資安事件不僅造成金錢損失,更削弱企業信任,甚至影響 IPO、併購與客戶合作。尤其在監管產業,罰款與法律訴訟風險極高。若競爭對手已投資資安成熟,而你還停留在事後補救,就可能陷入追趕的被動局面。
推動文化變革:建立組織共識
- 強調「共同責任」文化:資安不僅是 IT 部門的職責,而是整個組織的責任。從人事、財務、產品等不同部門,都應理解自己在資安風險管理中的角色與責任。
- 高階演練協助理解風險:Mikhalap 提到,透過模擬資安事件演練,可以讓高層親身體驗應變過程,深刻理解信譽受損、法規風險與企業營運延宕的真實成本,以及決策失誤可能造成的嚴重後果。
未來威脅與策略展望
他指出,2025 年以後,勒索軟體、供應鏈攻擊與 AI 驅動型攻擊將進一步升級,企業應以「韌性」思維來面對資安,這包含整體風險暴露管理、將資安納入長期企業策略,以及確保董事會主導安全準備與恢復能力的投資規劃。
簡言之,他認為:資安是企業持續營運與信譽的保障與推手。
結論要點整理
資安需成為董事會核心議程 – 像財務與法務,是不可忽視的策略領域。
資安報告需具企業語言 – 用商業與風險角度呈現,而非產品或技術細節。
預算與決策應該前瞻布局 – 包括預防、應變、恢復與投資優先排序。
整體組織應共同負責資安 – 資安不應該被孤立成 IT 的職責。
演練與模擬讓高層真正理解風險與代價 – 從被動應變到主動防禦的轉變。
Mikhalap 的觀點清楚強調:若公司領導層不將網路安全納入核心治理架構,就必然面臨戰略風險與信任崩解的風險。董事會的資安共識正是企業韌性與成長的關鍵。
資料來源:https://hackread.com/cybersecurity-priority-company-perspective-serhii-mikhalap/