行业专家表示,面对安全威胁,高管和董事会成员需要更加关注网络安全。首席信息安全官(CISO)需要通过SolarWinds安全事件等危机将安全转化为业务战略。Abacus首席信息安全官BillBrown表示,像SolarWinds这样备受瞩目的网络安全漏洞应该引起高管和董事会成员的关注。他曾担任过三家公司的信息安全负责人,他说,任何一家公司的高管在听说最新的安全漏洞后,通常都会打电话给他要求安全保证。他们会说,“这会发生在我们公司吗?我们应该如何应对?”但他说,许多董事会成员现在对此漠不关心。SANSInstitute新兴安全趋势主管JohnPescatore表示,虽然SolarWinds安全漏洞成为头条新闻,但需要考虑对业务的其他影响,例如冠状病毒爆发。“对于公司董事会而言,网络安全是其责任中涉及的众多风险之一,对于大多数公司而言,这并不是最大的风险,”他在趋势科技和EnterpriseStrategyGroup最近的一份报告中表示。在一项调查中,大约85%的安全领导者表示,与两年前相比,公司董事会更多地参与了安全决策和战略。但这些高管只是因为重大违规、新的合规性要求或业务信息安全官(BISO)安全计划而担心。该报告建议组织需要通过增加业务信息安全官(BISO)角色来提高业务安全一致性,并授权为公司CEO建立自上而下的可衡量报告。归根结底,首席信息安全官(CISO)有责任与公司高管和董事会建立密切关系并定期对话。为了保持势头,首席信息安全官(CISO)必须提供稳定的业务信息流,并以风险和网络安全战略的形式让公司董事会保持关注,而不仅仅是技术解决方案。安全主管和分析师提供提示、工具和框架,以帮助将安全转化为政策并确保您的网络安全。1.匹配业务模型SANS安全意识总监LanceSpitzner说,“首席信息安全官(CISO)必须有一个深思熟虑的战略和战略业务工具来做到这一点。SANS为安全领导者提供为期五天的“MBA”式课程,以了解企业高管和董事会用来衡量风险和制定战略的商业模式和框架。首席信息安全官(CISO)可以研究PEST模型、SWOT分析、平衡计分卡,或如何将能力成熟度模型集成(CMMI)模型与NIST网络安全框架相结合,以向公司董事会成员传达其不同战略安全的成熟度举措。Spitzner指出,首席信息安全CISO不必了解所有这些模型,只需了解对公司董事会至关重要的模型即可。他们需要与公司董事会成员交谈,并询问他们在董事会会议上使用的是哪种模式。一些行业特定的安全框架也在推动公司董事会的讨论。Abacus最近完成了HITRUST认证,这是医疗保健领域的一个通用安全框架,处理受保护健康信息的组织通常需要它。Brown表示,这些认证使企业安全活动更加结构化,并包括与董事会成员沟通的要求。其中一些控制措施包括与执行团队定期对话,讨论他们在保护资产方面的作用以及业务合作伙伴的作用,后者的职责与首席信息安全官(CISO)的职责一致。数据可视化工具还可以帮助首席信息安全官(CISO)更好地将网络数据转化为业务影响。Brown为Abacus创建了一个季度热图图表,它使用颜色来表示Values表中的数据,从绿色代表低概率、低影响的问题到红色代表高概率、高影响的问题。数据值显示已识别潜在风险,在AbacusCorporation发生的每一种可能性,以及发生的影响,包括对客户的影响、对业务认知的影响以及与供应商和合作伙伴的关系。他的团队会定期监控和更新这些数据。“公司董事会期待看到自上个季度以来热图的变化,”布朗说。如果事件具有高潜力、高影响,请讨论安全团队正在做什么以降低它们的可能性或影响。2.以竞争对手为基准企业董事和高管希望CISO将他们的工作与竞争对手进行基准比较,类似于CFO和COO向公司董事会展示的内容,Pescatore说。“公司董事会成员想知道,他们在安全计划或保护供应链方面做得比竞争对手差还是好?但通常很难做到这一点,”他说。’”他指出,但有很多资源可以提供帮助。美国信息共享和分析中心委员会是一个特定于行业的组织,负责收集和共享有关对关键基础设施的网络威胁的信息。美国信息共享和分析中心(ISAC)还促进公共和私营部门团体之间的数据共享。该中心列出了24个行业作为参与成员,包括医疗保健、零售、酒店、金融服务、媒体以及石油和天然气。佩斯卡托雷说:“人们有能力团结起来应对这种情况,只是放大程度不够。”3.利用立法推动SolarWinds对美国政府机构的攻击,新政府将重点放在加强美国的网络安全防御上。美国联邦隐私立法的要求也在上升,近年来出台的一些法案可能最终会受到关注。这是一个热门话题,国会需要就新的联邦法律达成一致,以取代已经生效的州立法。例如去年11月通过的《加利福尼亚州隐私权和执行法》(CPRA)将于2023年1月1日全面生效。该法律要求该州总收入超过2500万美元的企业提供合理的网络安全保护,每年提交网络安全审计,向新成立的加州隐私保护机构提交风险评估监管文件,并要求合同条款和其他保护措施。解决供应链安全和隐私风险的措施。美国其他八个州也有类似版本的隐私法规。分析师表示,首席信息安全官(CISO)应将注意力集中在新法规上,以分享积极的网络安全措施和投资如何使公司合规。4.建立良好的关系分析人士指出,首席信息安全官(CISO)不仅需要征求信息请求或召开季度会议,还需要与高管和董事会建立和培养关系。《全球CISO的战略与策略和领导力》作者MichaelOberlaender说:“应该始终保持开放的沟通,而不仅仅是在重大危机期间,这是核心问题,否则安全将被忽视。”布朗说,“建立良好的关系你可以得到盟友的帮助。如果不幸的事情发生了,那么你已经有了这样的关系,每个人都可以一起解决问题,而不是互相指责。”
