核心內容與分析

這份由Google Cloud CISO辦公室發布的報告，深刻闡述了當前資安威脅的演變，並明確界定董事會的全新職責。報告將監督重點歸納為以下三項：

1. 勒索軟體：從網路到身分與服務台的轉變 傳統的勒索軟體攻擊多半著重於網路入侵。然而，報告指出，攻擊者已將戰場轉移至身分識別與企業服務台。這意味著，保護身分認證（Identity Protection）變得至關重要。報告強烈建議董事會應關注組織內部如何保護身分，並支持資安團隊推動更強大的保護措施，例如防釣魚的多因素驗證（phishing-resistant multifactor authentication）。儘管這些措施在推行時可能遭遇阻力，但其對於防堵勒索軟體攻擊的有效性不容忽視。

2. AI驅動的網路詐欺：財務流程的監督 AI的普及使得網路詐欺變得更智慧、更難以偵測。攻擊者利用生成式AI技術製造更逼真的網路釣魚信件、深偽影像與語音，對企業的財務流程構成嚴重威脅。報告為董事會提供了一套監督詐欺防範的框架，建議從盤點組織的資金流向開始，並審查關鍵財務流程（如電匯和即時支付）是否已部署多因素驗證和雙重核准等嚴格控制措施。部分領先企業已投資於即時詐欺偵測系統，將偵測率提升一倍，並顯著降低誤報，從而提高資安團隊的效率。

3. 創新與網路安全的整合 報告顛覆了傳統觀念，強調資安並非創新的阻礙，而是成功的基石。強大的網路安全實踐能為企業帶來競爭優勢，因為它能建立客戶信任，並加速新技術的採用。董事會應確保資安考量被內建於每一個產品開發與技術轉型的決策中，而非事後補救。這需要跨部門的深度協作，特別是資訊長（CIO）、技術長（CTO）和資安長（CISO）之間的緊密合作。報告建議董事會應定期與CISO對話，以了解最新的威脅情勢、組織的韌性，以及風險承受度。

結論與展望

Google Cloud的這份報告，為董事會提供了清晰的指南，協助其從被動的角色轉變為主動的資安治理者。這份報告的核心訊息是：網路安全已是企業策略與成長的必要組成部分。董事會不僅需要理解資安的技術層面，更應將其視為整體業務風險的一部分，並確保有足夠的資源、專業知識和跨部門協作來應對威脅。

隨著監管機構（如SEC）對企業資安透明度和責任的要求日趨嚴格，董事會的資安監督職責將更為關鍵。有效的資安治理將成為企業能否在日益複雜的數位世界中保持競爭力、保護股東價值和客戶信任的決定性因素。這份報告不僅是對Google Cloud客戶的建議，更是為所有企業的最高決策層敲響警鐘，提醒他們必須積極參與，以確保數位時代的永續經營。

資料來源：https://www.helpnetsecurity.com/2025/09/01/google-board-cybersecurity-oversight/