每个CISO都应准备好回答的6个与董事会安全相关的问题数据泄露、勒索软件攻击以及对与全球大流行相关的风险的担忧提高了公司董事会对网络安全的兴趣。安全负责人表示,董事会已开始更加关注安全问题,对网络问题有了更好的理解,并开始提出有关风险敞口和管理方法的更复杂问题。虽然许多人仍将安全视为开展业务的成本,但越来越多的董事会成员开始将安全视为业务的基础。随着许多公司在大流行之后加速数字化转型计划,董事会希望了解安全将如何支持这些努力并在劳动力更加分散的环境中支持业务需求。“董事会在技术和安全方面变得更加精明,”麦当劳首席信息官TimothyYoungblood说。“他们在一定程度上受到美国证券交易委员会的推动,他们希望董事会具备一定水平的技术专长。”他们还从美国商业董事协会和其他机构那里获得了大量关于网络安全的指导。因此,问题委员会现在向安全主管提出的问题也发生了变化。根据Youngblood和其他人的说法,以下是当今人们最关心的六个问题。1.网络责任风险管理公司VigiTrust的首席执行官兼新书《董事会中的网络大象》的作者MathieuGorge说,CIO需要做好更好的准备来回答董事会关于网络责任的问题。Gorge说,网络问责制是指一个组织证明他们有很好的能力来保护他们的网络,并且如果出现问题,他们可以将一切追溯到一个独特的事件、独特的人或独特的群体。CISO需要准备好解释什么是网络问责制、为什么组织应该关心、如何开始网络问责制之旅以及它包括什么。“这只是证明我们可以应对网络攻击并且我们有计划,还是不止于此?它需要谁参与,成本是多少,或者我们真的需要它吗?”峡谷说。在阐明他们的回应时,安全领导者需要记住,董事会真正想听到的是对整个业务生态系统的问责制。这意味着安全领导者需要能够描述他们将如何让特许经营商、子公司、业务合作伙伴、供应商和其他第三方对实施安全最佳实践以及他们自己的组织负责。这个生态系统可以是国际性的,也可以由复杂且经常相互冲突的法规和标准管理,所有这些都需要一定程度的问责制。CISO需要准备好回答他们可能正在做什么或计划做什么,以证明这种责任感。“你能通过绘制生态系统图来展示它吗?你能用一个控件来展示它吗?2.COVID-19大流行期间及之后的安全状态商业支付服务公司Fleetcor的首席信息安全官JamesEdgar表示,全球COVID-19大流行促使人们转向远程工作,这也导致人们更加关注哪些董事会的董事就网络安全发表了看法。问题。从IT角度和整体业务角度来看,当前的重点是向远程工作的转变将如何影响业务运营方式。这些问题涉及组织是否能够将其大部分员工转移到远程模型并仍然能够支持业务。埃德加说,他从董事会收到的问题包括与业务连续性相关的问题,以及冠状病毒来袭时对已经在进行的主要IT项目的潜在影响。“我们能否实现我们认为至关重要的大事?我们能否保持当前的安全性和合规性水平?我们的基准是什么?当我们摆脱COVID-19时,我们会达到这些标准吗?“随着局势的稳定,重点已经转移到本组织在COVID-19后世界中维持其安全态势的能力,以及为实现这一目标而进行的投资。埃德加说,一种对他有用的策略,是向董事会提供有关威胁形势和安全领域更大趋势的季度更新。“我们定期向他们提供我们所看到的以及我们在勒索软件、端点保护、网络监控方面所做的工作。”关于网络安全变得更具战略性。许多董事将网络安全视为其受托责任的一部分,以及应有的谨慎和忠诚。“你今天遇到的问题是你如何处理不在你控制范围内的事情——比如第三方派对,”Youngblood说。如今有如此多的外包,董事们想知道企业网络安全投资是如何受到保护的。他们想了解组织从中得到了什么,以及是否有什么可以可能会影响业务目标。Youngblood表示,董事会想了解一个组织对网络事件的准备情况如何,以及是否有适当的控制措施来检测威胁,然后再成为主要问题。他们想知道网络安全是否与数字化转型相关联,使得安全性内置于每个步骤中,而不是在最后固定。值得注意的是,董事会也越来越有兴趣了解该组织可能不会进行的任何可能对网络风险产生负面影响的投资,他说。回答这样的问题可能很棘手,这就是为什么让CISO、CPO和其他利益相关者在董事会中发挥作用是个好主意。他说,在与董事会讨论战略安全时,还要确保你的陈述不会让CISO感到惊讶。了解董事会的风险偏好并确保将网络风险整合到更广泛的企业风险管理环境中。“我推荐的方法是从您可以谈论的业务和业务成果开始,”Youngblood说。“我不会以更具战略意义的方式谈论。”4.以行业最佳实践为基准据云服务提供商Netenrich的首席信息安全官BrandonHoffman称,董事会非常关心其组织的安全状况与同行相比有多好(或多差)。一个驱动因素可能是,在发生违规事件时,公司的安全措施通常会与行业最佳实践或同行采用的最佳实践进行比较。“高层对了解与该行业相关的风险有浓厚的兴趣,”霍夫曼说。这种比较本身往往无助于创造一个更安全、风险更低的环境。即便如此,许多董事会仍希望这样做,因为很少有有效的方法来衡量业务环境中的安全性。“CISO犯的最大错误之一是没有将与安全相关的风险与业务风险联系起来,”霍夫曼说。“相反,报告围绕合规框架和技术指标展开,”这些充其量是日常行动的最佳指标。“不幸的是,它确实无法帮助高管或董事会了解对业务的影响。”5.对网络攻击的抵御能力尽管董事会在面对战略、企业风险管理时对网络安全越来越感兴趣,但他们仍然会深入参与与组织抵御和响应网络攻击的能力相关的事务。CISO顾问兼首席安全科学家JosephCarson表示:“他们想知道您如何利用人员、流程和技术来最大限度地降低风险,同时在生产力和安全性之间保持适当的平衡。”董事会可能提出的问题,以及CISO需要准备好解释的问题,包括关键业务服务受到勒索软件等威胁的风险,以及为减轻勒索软件或其他攻击对业务服务的影响而采取的措施。“哪种威胁最有可能影响业务,有哪些财务风险以及减轻该风险的选择,”他说。“我们的网络风险差距有多大,与什么都不做相比,降低风险的成本是多少?”准备好回答有关您的事件响应计划以及您是否已经测试了对您的业务最有可能的潜在威胁的问题。“我们将如何分割业务的各个部分并控制访问权限?”卡森说。“我们超出、满足或未达到哪些监管和合规要求,它们如何与业务网络风险保持一致?”6.持续合规Gorge说,你需要准备好谈论持续合规和持续安全。董事会成员经常询问对网络安全的投资为公司购买了多少时间。“问题是,‘好吧,我们只做一次,这会让我们坚持几年,对吗?还是我们需要一直这样做?’”他说。这就是为什么首席信息安全官和其他安全领导者需要引入安全和合规是一段旅程而不是目的地的想法,Gorge说。他们需要证明随着业务的增长,安全需求也在增长。重要的是,安全领导者强调需要在金钱、时间和精力方面持续投资于网络安全。解释这些投资将如何在三到五年内降低成本、提高安全性、增强客户信心并带来其他有形收益。Gorge说,在网络责任和持续合规的双重背景下,CISO面临的最大挑战是证明网络安全将如何成为业务推动因素,而不仅仅是成本。“与其说‘如果我们不这样做,可能会发生安全事件’,不如展示你将如何利用现有模型以实际增加价值的方式将网络安全纳入资产负债表。”
