网络安全已成为企业董事会成员日益关注的重大话题。在这家研究公司去年进行的一项全球调查中,网络攻击和数据丢失被列为企业董事会成员和高管最关心的与新冠疫情相关变化的两大风险,例如在家远程工作、混合工作和云迁移。.该调查涵盖美国、英国、欧洲和亚太地区的各个行业领域。随着大量数据泄露和勒索软件攻击成为头条新闻,并带来相关的灾难性后果,例如企业倒闭、财务/收入损失、声誉受损等,许多公司董事会成员和高管已经意识到网络安全不再只是一个IT问题,而是一个问题。也是商业问题。此外,根据RSA商业创新安全委员会最近发布的白皮书,网络安全已经发展到风险和相关成本现在成为公司董事会的信托责任的地步。一些用户甚至提起诉讼,要求企业董事和高管承担个人责任,声称如果发生网络安全事件,他们应该被追究责任。因此,该小组可能是将企业网络风险降至最低的重要力量。尽管如此,研究发现,出于各种原因,许多CISO难以向董事会成员和高管解释保护企业系统、数据和资产所需的资源、承诺和预算。这方面的一个例子涉及将网络安全风险转化为业务风险的需要,这是公司董事会成员关心的问题。这些风险及其对业务的可怕影响并不总是在所有行业中都很明显,因此应该向公司董事会成员和高管清楚、简明地传达。公司董事会成员和高管需要知道什么?通常,公司董事会成员和高管对网络安全有不同程度的了解。有些人精通技术并密切关注网络安全趋势,而另一些人则对企业网络安全中包含的大量主题有模糊的理解。无论董事会成员知道什么,他们通常都希望从CISO那里了解组织当前识别其最关键资产的能力、保护这些资产的防御计划,以及组织在多大程度上执行该计划来管理风险和错误。CISO报告应告知业务领导安全团队发现的威胁和漏洞,以及为减轻这些威胁而采取的主动行动。必须清楚地了解这些威胁和漏洞如何影响业务功能。该报告还应讨论解决这些威胁、目标、投资和相关投资回报率的长期战略,以及实现这些目标的明确进展的最新情况。以下是CISO需要为公司董事会成员和高管回答的一些基本问题:风险是什么?网络安全团队正在做什么?团队是否有能力做出正确的决定并迅速采取行动?状况?企业资产、数据和系统是否安全?您如何知道您的企业是否遭到网络攻击?您的安全计划与业内其他人相比如何?您的安全计划是否有足够的资源?计划的效果如何,投资是否正确?成功的讲故事无论董事会成员的知识水平如何,通常建议CISO讲一个简短的故事,让每个人快速了解组织的网络安全状态、态势和防御计划。这包括对当前威胁形势的概述,即可能的风险和网络攻击者。它的故事还应该提到当前针对网络攻击者的反制措施以及如何使用企业的安全系统来抵御他们。如果CISO有具体的例子说明网络攻击者如何攻击他们的公司以及采取了哪些措施,那就更好了。尽管如此,如果这些网络攻击发生在几年前,他们应该举出值得注意的网络攻击事件,例如ApacheLog4j、SolarWinds、JBS、CapitalOne、Facebook、Equifax、OPM、Yahoo、JPMorgan等攻击事件。最好使用与您的行业相关的示例,而不是引用与您的业务毫无相似之处的随机事件。这些网络攻击和物理破坏有助于创建影响业务运营的场景。此处不建议审查特定的新工具或技术,因为它不会为非安全从业者提供价值。但如果网络安全事件因CEO或董事会在上次会议上批准的工具或设备而得以预防或减轻,则需要提及该举措。这应该嵌入故事中,但采用安全工具或技术不应该是故事本身。这使CIO能够让CEO和董事会成员满意,同时实现会议的预期结果。如果必须提及技术项目,则必须将其转化为董事会成员/首席执行官可以关联和理解的风险,这需要上下文和含义。它将被简单地描述为任何其他业务风险,例如,“这种风险可能发生,如果它发生,这是不利影响。”通过将技术项目作为业务问题呈现,更容易获得必要的资金和人员等资源,从而快速消除风险。通过选择正确的指标建立信任建议使用一些定性和定量的策略和指标来建立信任,而不是可能在15分钟的演示中呈现的难以解释的技术或运营指标。下面是可供选择的简短选项列表(一般建议分享3-4个相关指标)。进行风险评估并识别风险。计划的桌面演习和模拟,涉及董事会成员和高管。目前正在处理的首要安全优先事项,今年上半年和下半年的计划是什么。员工培训计划和测试。红蓝团队模拟和报告的结果。降低风险和改善组织安全状况的其他举措。与应用程序开发的安全集成(如果适用)。企业根据风险承受能力和风险偏好接受的风险。发现了新的和已修复的漏洞。补丁管理——日期、时间表、频率。事件和漏洞的数量。未补救的风险数量和不补救的原因(显示正在解决的优先事项)。民族国家范围内的网络攻击讨论美国国家安全局(NSA)开发的一些网络攻击策略、技术和程序近年来取得了长足的进步,网络攻击者很容易在美国购买此类技术。黑暗的网络和快速。过去,只有民族国家才能使用这些技术和工具。然而,如今,此类攻击工具可供各种网络犯罪集团使用,并且每天都在大量使用,主要是为了经济利益,给企业带来新的风险。这些网络攻击团体之间的合作有所增加,因此知识和工具共享使许多企业更容易遭受国家级网络攻击。已经看到,这些网络犯罪集团往往受到所在国家的保护,这就意味着为这些网络攻击提供了便利和条件。因此,组织通常需要额外的专业知识来处理这种级别的威胁。CISO应该提出他们关于解决这些超出监管要求的风险的想法,并使组织的安全计划成熟到超过其当前水平。解释ROI和网络安全投资由于网络安全带来了新的和持续的挑战,因此向董事会成员解释再多的投资也无法消除风险非常重要。因此,在讨论网络安全投资时应使用一些共同的基准,但投资决策将根据整体安全计划、行业和其他因素的成熟度而有所不同。对于网络安全而言,ROI的主题可能有些复杂,因为品牌声誉价值、受损的数据/个人信息安全以及潜在的法律成本等重要因素更难以量化。然而,毫无疑问,“假设”成本是可以估算的:事件缓解可以防止损失。每月阻止的高级持续性威胁的数量。符合安全标准的系统百分比。此外,大多数董事会成员和高管希望了解投资的影响,尤其是哪些投资对CISO最有意义,他们的意见等。建议CISO借此机会展示他们的商业敏锐度并为这些决策增加价值。结论CISO是企业加强网络安全的主要发言人和倡导者。他们负责为组织的网络安全计划制定愿景、价值观和计划。作为数据和网络安全专家,他们有重要的事情要对董事会成员和高管说。但如果包装不当,他们的数据和专业知识可能不会有太大帮助。为了传播信息和预期结果,需要将网络安全问题和风险转化为业务问题和风险。上述建议基于作为大型企业CISO顾问的经验,旨在为其他CISO在向董事会成员和高管提交分析以实现预期结果时提供实用建议。
