至少对于那些拥有健康安全文化的组织来说,安全负责人与董事会高管之间的距离正在缩小。许多公司的高管已经基本接受,他们需要了解网络安全风险与业务风险之间的关系,如何承担治理责任,以及网络风险如何从财务、声誉、法律、运营等层面影响公司。数字业务越多,网络安全就越成为影响竞争力、业务连续性、可靠性和信任的关键问题。网络安全逐渐上升到董事会层面的讨论层面,已成为行业共识。但是,当面对专业的网络安全环境时,董事会高管往往难以理解这些术语或指标的真正含义。以下三种报告方式可以让董事会更好地了解网络风险。1.了解董事会的职责为了与董事会建立有效的沟通,安全领导者需要从业务角度了解董事会的职责范围以及技术如何驱动业务生态系统。与此同时,安全领导者应努力争取企业风险经理的支持,他们最有能力向董事会解释网络风险带来的运营和战略风险。2.以董事会熟悉的格式显示数据。通过数据展示面板和图例,使用数据丢失、数据可靠性、系统可靠性等分类展示关键绩效、关键控制、关键风险等风险。此类数据可以帮助董事会做出有关安全预算和新技术部署的明智决策,这意味着从企业风险的角度使用相关数据。向董事会呈现一堆风险情景是没有用的,但以可量化的指标、优先顺序和高级管理人员更熟悉的格式呈现它们可以产生很大的不同。董事会成员最熟悉管理财务指标,因此风险管理指标越类似于财务报表和收入预测,就越容易做出管理网络安全风险的决策。3.了解你的基准另一种非常重要的报告方式是使用同行商人的例子来建立讨论框架。强调违规对竞争对手的影响肯定会引起董事会的注意,但更重要的是要有实质性的谈话要点。例如,企业与同行在风控措施成熟度方面的比较。如果两者之间存在差距,需要采取什么措施来弥合差距。
