今天的董事会拥有更多的信息来源,并且能够更好地准备质疑公司安全计划的有效性。为了在远程团队面临的网络安全威胁不断增加的环境中实现数字目标,与安全和风险管理领导者的对话也变得更加复杂和微妙。所以他们不可能问一些基本问题,比如我们有多安全?既然我们去年刚刚批准了X,为什么我们需要在安全方面投入更多?你说我们被“黑客攻击”了一百次那是??什么意思?相反,董事会将进行更具体、更精确的调查。安全和风险管理领导者经常难以回答董事会问题以回应媒体报道,导致业务和技术领导者之间的信任破裂。因此,您准备的答案应该将讨论引向保证、合规性和对安全实践的支持。除了个别董事会成员的利益和关注之外,董事会作为一个整体还关心以下三件事:收入/任务:营业或非营业收入以及加强非收入任务目标成本:避免未来成本并大幅减少运营费用风险:财务、市场、监管合规和安全、创新、品牌和声誉董事会提出的问题可分为以下五类:事件问题问题内容:这是如何发生的?我以为你已经控制住了局势?出了什么问题?为什么要问:当事件或事情已经发生并且董事会已经知道或首席信息安全官(CISO)正在通知他们时,就会出现此类问题。现在尤其如此,因为大多数员工在家工作时,董事会可能会询问有关组织安全的具体问题。此类问题也可能出现在任何其他事件中,包括可能影响整个组织的数据泄露。如何应对:有些事件(无论类型如何)是不可避免的,所以接受这个事实。分享您所知道的和您正在做的事情,并发现您还不知道的事情。简而言之,接受事件,提供有关业务影响的详细信息,概述需要解决的弱点或差距,并提供缓解计划。在董事会面前应注意不要只提供一个选项作为最终选择。虽然安全领导者仍然负有安全和风险监督责任,但责任始终由董事会/执行官定义。权衡问题问题内容:我们100%安全吗?你确定吗?提问原因:此类问题通常来自并不真正了解安全和业务影响的董事会成员。不可能100%安全或受到保护。您的责任是确定风险最高的领域,并根据业务需求分配有限的资源来管理这些领域。如何应对:首先要说,“由于威胁环境在不断发展,我们不可能消除所有信息风险源。我的职责是实施控制措施来管理风险。随着我们业务的增长,我们的风险水平。我们的目标是建立一个可持续的计划,平衡安全需求和业务运营需求。”SituationalQuestions问题内容:外面的情况有多糟糕?X公司的情况如何?那么,我们在哪里?提问原因:董事会成员通过威胁报告、文章、博客和监管压力了解风险。他们总是询问其他人在做什么,尤其是同行组织,并想知道他们的立场并与其他组织进行比较。如何应对:避免猜测其他公司安全问题的根本原因,而是回答:“在我掌握更多信息之前,我不想猜测X公司。但当我有更多信息时,我很乐意与你分享。”考虑讨论更广泛的安全对策,例如识别类似的漏洞以及如何更新业务连续性计划。风险问题问题内容:我们知道我们面临的风险是什么吗?是什么让你夜不能寐?提问原因:董事会知道接受风险是一种选择(如果他们不这样做,那么您需要解决这个问题),但他们想知道公司风险是否得到妥善处理,因此您应该准备好解释您组织的风险风险容忍度,以证明风险管理决策的合理性。如何回应:解释风险管理决策的业务影响,并确保有证据支持您的观点。第二部分至关重要,因为董事会根据风险承受能力做出决策。任何超过容忍阈值的风险都需要采取补救措施将其控制在安全范围内,但这并不一定需要在短时间内发生巨大变化,因此应注意不要反应过度。董事会希望你保证你正在充分管理重大风险,在某些情况下,还需要适度的长期战略。请记住,董事会对“整个企业”的风险负责,而网络风险虽然重要,但只是其中的一小部分。你应该要求自己简洁。缺乏控制不是风险,下一个尚未出现的重大威胁也不是。专注于您可以控制的高价项目,例如知识产权损失、监管和第三方风险。性能问题问题内容:我们是否正确分配资源?我们花钱够吗?我们为什么要花这么多钱?提问原因:董事会希望确保安全和风险管理领导者不会停滞不前,并希望了解指标和投资回报率。如何应对:可以使用平衡计分卡方法,它使用简单的红绿灯机制。顶层应该代表业务愿望和与这些愿望相关的组织绩效。只要有可能,这些愿望都应该根据业务绩效(而不是技术)来解释,并且绩效应该由根据一组客观标准评估的一系列安全措施来支持。
