安全领导者应该向董事会报告他们关心并且对他们有意义的事情。除了个人偏好和顾虑之外,董事会通常还关心三件事:收益/目标:营业收入或营业外收入以及提高非营业收入任务目标费用:避免未来的成本管理费用并减少营业费用风险:财务、市场、安全监管、创新、品牌和声誉1.权衡问题:我们100%安全吗?你能保证吗?(1)问题分析不真正了解安全及其对业务影响的董事会成员经常会提出这样的问题。没有100%安全这样的东西。CISO的工作是确定风险最高的领域,并根据业务需求分配有限的资源来管理这些领域。(2)如何回答可以这样开始:“鉴于不断变化的威胁环境,不可能消除所有信息风险来源。我的职责是实施控制来管理风险。随着业务的增长,我们必须不断重新评估什么样的风险状态是合适的。我们的目标是建立一个可持续的项目,在保护和运营业务之间取得平衡。”2.情景题:其他公司呢?X公司怎么了?公司与今天相比如何?(1)问题分析委员会成员将面临来自安全报告、文章、博客和监管机构的压力,要求他们了解风险。他们总是问别人在做什么,尤其是同行公司。他们想知道“大局”是什么样的,以及他们与自己相比如何。(2)如何应对为了避免猜测其他公司安全问题的根本原因,可以这样说:“在我掌握更多信息之前,我不想猜测X公司的事件,但是当我了解更多时,我会继续跟进一探究竟。”考虑讨论更广泛的安全事件响应措施,例如识别类似的风险点,制定如何修复或更新业务连续性计划。3.风险问题:你知道公司存在哪些风险吗?是否有任何问题使(1)问题分析董事会知道接受风险是一种选择(如果他们不接受,那就是你将面临的挑战)。他们想知道公司的风险是否在控制之中。CISO们应该准备好解释公司的风险承受能力,以确保做出风险管理决策。(2)如何应对如果你说一切都很好,没有什么可以让你睡不着觉的。那只能对你说:“英雄一路走下去。”解释风险管理决策对业务的影响,并确保你的立场是有根据的。后半部分很关键,因为董事会根据风险承受能力做出决策。任何超过可容忍水平的风险都需要采取补救措施,使其在可容忍范围内。这不一定需要在短时间内发生剧烈变化,谨防不必要的过度反应。审计委员会将寻求保证重大风险得到充分管理,在某些情况下,长期持续改进的微妙方法可能是合适的。4、平台问题:公司资源配置是否合适?我们(在安全方面)的支出是否足够?为什么我们花了这么多钱?(一)问题分析董事会要放心,安全和风控部门负责人不要坐以待毙。董事会成员希望了解定量分析和ROI(投资回报率)。(2)如何回复我们都知道在信息安全方面做量化分析和ROI是死路一条,所以不要主动做安全工作的量化回报报告。使用平衡记分卡(BSC)方法,在最高级别表达业务期望,并使用简单的允许/拒绝机制说明组织针对这些期望的绩效。尽可能从业务绩效而非技术方面解释期望。性能基于使用一组客观标准评估安全性的指标。5.安全事件问题这个(安全事件)是怎么发生的?我想你可以控制它!发生了什么?(1)问题分析当事件或事件已经发生,董事会已经知道或CISO正在通知他们时,提出这样的问题。(2)如何回复如果你是事件的当事人或责任人,那么第一时间不是追责,而是做事,压制最快,最大程度止损。当然,某些特殊环境下的公司可能会有所不同。安全事件是不可避免的,所以要现实一点。分享你所知道的和你正在做的,并找出你目前不知道的。简而言之,确认已发生的安全事件,提供有关业务影响的详细汇报,概述需要解决的风险点,并提供缓解计划。在董事会面前,不要让一个选项成为你的最终选择。安全和风险的监督责任仍由安全负责人承担,但最终责任必须由董事会/执行官承担。
