无论企业在网络安全上花费多少,都不能保证不会发生重大事件。那么,企业高管和董事会如何知道该怎么做呢?FortiumPartners合伙人MichaelGabriel作为企业技术代表出席了美国信息风险委员会的会议。此外,多位来自财务、人力资源、法务、人身安全、内审及外审等行业的高管参加了会议。外部审计表明,安全人员需要向公司董事会通报潜在的网络安全威胁。问题是,如果在管理层做出回应之前就传达了这一点,那么只需引起他们的注意,否则可能无济于事。迈克尔·加布里埃尔(MichaelGabriel)表示,围绕如何最好地传达企业整体网络安全态势以及各个部门之间存在疑问,企业董事会需要尽快意识到这一点。无论网络安全状况如何,外部审计师向公司董事会通报情况都是合理且必要的措施。MichaelGabriel调查了一些以网络为中心的大型专业服务公司,这些公司已经建立了网络安全方法,但从最初的努力和持续的维护来看,这似乎非常困难,因为没有一家提供人们想要交流的清晰视角。.需要通过时间维度来看待网络安全观点到目前为止,人们知道最好通过清晰的故事来传达观点。而人们的经历会强化这个观点,包括:过去——人们在重大事件方面经历了什么?人们在这些事件中学到了什么,做了什么?当前情况——人们从新闻中听到了什么与威胁相关的风险是什么?如何解决这些风险?未来——基于商业计划和不断变化的威胁,人们需要为未来担心什么?这对前瞻性规划有何影响?关注的是,需要持续更新状态,关注关键业务影响指标和计划,最好与公司董事会会议结合使用。当然,这并不排除根据实际事件或感知到的威胁立即通知和采取行动,这些项目将包含在下一次状态更新中。虽然这提供了关于人们如何工作的时间视角,但它没有提供解决系统性网络安全态势所需的参考点。确定网络安全风险的依据是什么?RainCapital管理合伙人兼董事会成员王晨曦博士提出了一个引导性问题,“我们到底有多安全?”因为它不是基于任何评估框架,而是基于个人观点的意见。了解企业的??安全态势需要结合了解企业的??威胁矩阵和评估网络安全风险的基础。王晨曦博士指出,“网络安全风险需要放在企业面临的主要风险的背景下进行讨论。如何评估这些风险是否需要董事会的关注应该使用类似的风险框架和每6个月左右评估一次。”例子通常是为家庭实施的安全保护。例如,在家中的每个房间都部署了传感器,例如烟雾、热量、水、一氧化碳、运动探测器和摄像头。会被淹没。虽然购买保险可以弥补部分损失,但房主的生活将受到严重干扰,一些宝贵的贵重物品可能会丢失。但是,房主可以根据他们需要保护的内容来决定支付什么保险。从商业角度来看,这真的没有什么不同。通过法律合同,企业在法律上免受第三方网络事件的影响,并在财务上受到网络保险的保护,但即使有这些保护,他们的声誉会发生什么变化?在补救之前,它将如何影响企业的持续流程或客户或业务关系?企业的业务风险和必要的保护将根据其业务类型而有所不同。企业需要决定哪些资产(数据、系统访问等)需要保护?如果这些资产遭到破坏,会产生什么影响?例如,媒体集团有许多不同的业务,订阅电视/点播业务不会受到实时新闻的威胁,Gabriel说,代理商、广告支持的广播网络、电视和电影制作公司。尽管整个组织都有标准的信息安全策略,但它们的相关程度因业务部门而异。企业需要保护哪些资产?管理者需要考虑什么对企业真正重要。需要考虑的一些领域包括:消费者信息(无论是内部管理还是由第三方管理)法规遵从性(包括州和联邦政府、国内和国际),例如PII、PCI、GDPR、CCPA、HIPPA等。供应链(数字或其他方式)品牌声誉(包括社交媒体影响力和面向公众或B2B的网站)知识产权保护,包括战略和计划的员工信息(包括保密的第三方人事信息)有待发现的非公开财务和合同信息有一点需要与每个部门的所有业务负责人以及公司外部的会计师事务所进行讨论。业务经理必须能够建立自己的信任关系来帮助业务,而风险承受能力是一种业务决策,经理可以提供指导。然后,组织需要了解网络安全框架和标准。可以考虑以下一些标准,但建议将它们汇总以传达摘要级别的状态,并以某种方式传达当前和未来网络安全计划的潜在业务和财务影响:互联网安全中心(CIS)关键安全控制(CSC)美国国家标准与技术研究院(NIST)网络安全框架(CSF)SANS20大控制措施EUGDPR(通用数据保护条例)加州消费者保护法(CCPA)ISO27000系列(国际标准化组织(ISO)和国际电工委员会(IEC)全国企业董事协会(NACD)网络安全指南资金如何影响企业的网络安全风险?官员可以发挥重要作用。行业通常有一些关于支出的行业指南,例如金融服务部门Cyber??securityProfile,可用于支出评估。然后展开根据他们可能拥有的专业知识,哪些矿石对他们的审计公司和主要网络安全公司有意义。但从这个角度来看,预算支出如何影响业务情况?如果公司的CFO、COO或董事会提出这些问题,他们会如何回答?是否需要将更多资金用于网络安全计划,如果需要,您如何降低风险?如果要求您将网络安全预算削减10%,这是否会增加风险?它要花多少钱?是否批准了额外资源或新的AI/ML威胁防御工具的请求?如何从业务角度传达风险?使用基于风险的方法是公认的良好做法,该方法旨在确定采取适当预防措施的成本是否值得潜在的风险影响。它可以是一个简单的四象限视角,例如一个轴上的风险从低到高,另一个轴上的成本从低到高,并且可以帮助企业评估应该在哪些地方应用有限的支出。尽管如此,正如MichaelGabriel在一次IBM高管会议上了解到的那样,未来的不确定性通常是由当前的确定性来判断的。这得到了DavidRock博士在贸易报刊上的文章的支持:“人脑通常渴望确定性,避免不确定性就像避免痛苦一样”,其中提到了如何处理确定性和不确定性的原则。人们努力自动避免不确定性,并解释对已知当前的偏好而不是不利的偏好。它解释了当前财务成本增加的不利因素,以及网络安全事件何时发生及其财务影响的不确定性。在这里,有很多CISO被问及他们是否会在明年或几年内再次请求额外资源的例子。它们并不意味着内部和外部因素都起作用。因此,建议他们确保传达要求的原因,这是公司控制范围内的事件,例如使他们的新业务更安全的收购和整合成本吗?如果是这样,则决定这些更改是否合理,因为这是一项业务决策。或者是否有对网络安全有影响的新业务扩展(例如直接面向消费者)?还是需要保护的新地点?企业需要感觉到他们对这些决定有一定的控制权。这只能通过适当的评估框架并了解潜在网络安全事件的业务影响和预防性缓解成本来完成。由于某种类型的网络安全事件发生的可能性很高,因此企业还需要为事件响应做好准备——操作上的、法定的和面向公众的。所有这些都可能受到特定事件、业务类型、技术结构、第三方依赖性和不同类型的网络安全事件的影响。这也可以通过与上述类似的基于风险的方法来解决。除非企业认真对待网络安全,否则他们将陷入金钱黑洞。企业高管需要做出权衡和艰难的决定。您需要准备好回答有关您组织的网络安全成熟度以及用于管理新兴威胁的框架的问题。确保网络安全态势的框架应类似于管理其他业务风险的方式,即潜在安全事件对业务资产的影响。与公司首席财务官、首席运营官和首席法律官(内部或外部审计)合作,帮助证明这一点。首席信息官、首席技术官、首席信息安全官等高管负责解释潜在风险并以业务术语简洁地缓解风险。虽然一些高管不喜欢看到网络安全问题被记录下来,但视而不见是有风险的。企业有责任以一种企业可以理解的方式负责任地传达这一点,并建立适当的利益相关者支持。
