数据泄露和勒索软件攻击加剧了企业董事会对网络安全的关注。安全负责人表示,董事会越来越多地参与安全事务,对网络问题有了更好的了解,并就风险敞口和管理方法提出了更复杂的问题。尽管许多人仍将安全视为开展业务的一项成本,但越来越多的董事会成员将其视为业务的基础。随着许多企业加快其数字化转型计划,董事会想知道安全性如何在劳动力日益分散的环境中支持转型计划并满足业务需求。“董事会越来越了解技术和安全问题,”麦当劳首席信息官TimothyYoungblood说。专业知识。”他们还从国家商业总监协会和其他机构那里获得了大量关于网络安全的指导。因此,问题板现在向安全负责人提出的问题发生了很大变化。根据Youngblood等人的研究,以下是当今董事会最关心的六个问题。1.根据网络问责风险管理公司VigiTrust的首席执行官兼新书《董事会里的网络大象》的作者MathieuGorge的说法,CISO应该更好地准备回答董事会关于网络问责的问题。Gorge表示,“网络责任”指的是一个部门证明自己拥有良好网络环境的能力。如果出现问题,他们可以追踪所有问题并找到特定事件、个人或团体。CISO应该准备好解释什么是网络问责制、为什么组织应该关心它、如何开始网络问责制之旅以及它包括什么。“这只是为了证明我们可以应对网络攻击并且我们有应对计划,还是不止于此?谁参与其中,花费多少,我们真的需要吗?”在阐明回应时,安全领导者应该注意,董事会真正想听到的是对整个业务生态系统的责任。这意味着,除了他们自己的部门之外,安全领导者还应该能够描述他们如何让特许经营商、子公司、业务合作伙伴、供应商和其他第三方对实施安全最佳实践负责。这样的生态系统可以是国际性的,并受复杂且经常相互冲突的法规和标准的约束,所有这些都需要一定程度的问责制。CISO需要准备好回答他们正在做什么或计划做什么,以明确他们的职责。“你能否通过绘制生态系统图来证明这一点,你能否通过显示正在发生的事情的控件来证明,你能否说明你已经对企业内各方的数据访问权限进行了分类?”2.大流行及以后的安全态势商业支付服务公司Fleetcor的首席信息官JamesEdgar表示,大流行后向远程工作的转变引起了董事会对网络安全问题的高度关注。从IT和整个企业的角度来看,许多直接关注的焦点是转向远程工作将如何影响企业的运营方式。这些问题与企业将大部分员工转移到远程工作模式并仍然能够支持业务的能力有关。埃德加说,他从董事会收到的问题范围从与业务连续性相关的问题到大流行来袭时已经在进行的主要IT项目会发生什么。“我们还能做好我们最重要的事情吗?我们还能保持现在的安全合规水平吗?我们的基准是什么,当我们从新冠疫情中走出来的时候,我们还能达到这些标准吗?”随着情况趋于稳定,重点已转移到企业在大流行后世界中维持其安全态势的能力,以及将进行哪些投资来实现这种能力。埃德加说,对他来说行之有效的一项策略是向董事会提供有关安全领域威胁形势和重要趋势的季度更新。他说:“我们会定期向他们通报我们在勒索软件、端点保护、网络监控以及我们正在做的事情方面所看到的情况和我们正在做的事情。”3.安全战略Youngblood表示,与几年前相比,董事会对网络安全的思考更具战略性。许多董事将网络安全视为本职工作,也是应尽的责任和忠诚义务。“你今天遇到的问题是你如何处理你无法控制的事情,比如第三方,”Youngblood说。如今外包如此之多,董事们希望了解企业网络安全投资是如何得到保护的。他们想了解企业从中得到了什么,以及是否有影响业务目标的因素。Youngblood表示,董事会喜欢听听企业对网络事件的准备情况,以及是否有适当的控制措施来检测威胁,以免它成为一个主要问题。他们想知道网络安全是否与数字化转型链紧密相连,以及安全是否内置于每个步骤而不是在最后添加。他说,值得注意的是,董事会越来越希望了解企业未进行的投资,这些投资可能会对网络风险产生不利影响。回答这些问题可能很棘手,因此最好让CIO、首席产品官和其他感兴趣的人也在董事会中发言。他说,在与董事会讨论战略安全时,确保你的陈述不会让CIO感到意外。了解董事会的风险偏好,以确保将网络风险纳入企业风险管理范围。“我推荐的方法是从谈论业务和业务成果开始。我不会以非常战略性的方式谈论,”Youngblood说。4.以行业最佳实践为基准云服务提供商CIOBrandonNetenrichHoffman指出,董事会非常关心他们组织的安全状况与同行相比的优劣。造成这种情况的一个原因可能是,在发生违规事件时,公司的安全措施通常会与行业最佳实践或同行采用的最佳实践进行比较。“高层对了解与该行业相关的风险有浓厚的兴趣,”霍夫曼说。这种比较本身往往无助于创造一个更安全、风险更低的环境。即便如此,许多董事仍希望这样做,因为在商业环境中几乎没有有效的安全措施。“CISO犯的最大错误之一是没有将安全相关风险与业务风险联系起来,”霍夫曼说。相反,报告通常围绕合规框架和技术指标展开,而这些指标充其量只是日常工作的指标。这并不能帮助高管或董事会了解对业务的影响。”5.防御网络攻击董事会不仅在战略和企业风险管理层面对网络安全越来越感兴趣,而且他们仍然深入参与业务防御和响应网络攻击能力相关的工作。Thycotic首席信息安全官顾问兼首席安全科学家JosephCarson评论说,他们想知道您如何使用人员、流程和技术来最大限度地降低风险,同时保持生产力和安全性之间的适当平衡。董事会可能会要求CISO需要准备好解释关键业务服务面临勒索软件等威胁的风险,以及为减轻勒索软件或其他攻击对业务服务的影响而采取的措施。“什么样的威胁最有可能影响业务,财务风险是什么,减轻风险的选择是什么,”他说。我们的网络风险差距有多大,即降低风险的成本与什么都不做的成本相比如何?”准备好回答有关您的事件响应计划以及您是否针对每个威胁进行了测试的问题。卡森说:“我们应该如何细分业务的各个部分并控制访问权限?合规要求如何与业务网络风险相适应?”6.持续合规Gorge说,准备好讨论持续合规和持续安全。董事会成员经常询问公司投资网络安全需要多长时间。它得到了回报。“人们会问,‘好吧,让我们尝试一次,它会好几年,对吗?或者我们需要继续投资吗?’”Gorge说,在这里,首席信息安全官和其他安全领导者应该引入这样的理念,即安全和合规是一段旅程,而不是目的地。他们应该澄清,随着业务的发展,安全需求也在发展。重要的是,安全领导者强调需要持续投资于网络安全,包括金钱、时间和精力等。解释这些投资将如何降低成本、提高安全性、增强客户信心,并在3-5年内带来其他有形利益“在网络责任和持续合规的双重背景下,CISO面临的最大挑战是证明网络安全如何成为业务推动者,而不仅仅是支出者,”Gorge说。与其说“如果我们不这样做,可能会发生安全事件”,不如展示如何利用现有模型,这是一种真正增值的方式,将网络安全纳入资产负债表。“
