网络安全是董事会最关心的问题之一。实际上,在全美企业董事协会(National Association of Corporate Directors)调查的近500名企业领导中,有42%的人将网络安全风险列为他们面临的五大最紧迫问题之一,仅次于监管环境的变化和经济发展减速。
因此,安全管理人员频繁向董事会汇报他们面临的风险以及减轻风险的策略。然而,很多董事会成员发现,他们没有从首席信息安全官那里获得所需的信息。
管理咨询公司麦肯锡(McKinsey & Co.)高级合伙人David Chinn表示:
董事会成员正在讨论网络风险,而风险和审计委员会正花费大量时间盘问首席信息安全官,他们普遍对这种情况感到不满。 |
首席信息安全官在向董事会传达网络安全风险时,应该遵循一些最优做法并避免常见错误。
1. 充分做好准备工作
高官们应该在进行汇报前几周,将准备好的书面报告上交给董事会成员。一些人认为提前做好准备工作就足够了,但有经验的高管和领导顾问表示,首席信息安全官们(特别是是那些在董事会开始之前时间有限的人)需要更专注于准备工作,甚至去接受特定的培训。
Hayslip在向新董事会进行第一次汇报之前,请求他的首席财务官帮自己联系一位愿意帮助他准备这次汇报的高管。他表示:如果我要向董事会做报告,而我从来没有和他们交谈过,我可不想走进冰冷的董事会。我不知道他们会问什么样的问题,我不知道他们想要了解什么。所以我和同事进行了沟通,询问其他已经在董事会面前进行汇报并得到反馈的其他高官们——都有谁在那里,他们是什么样人,他们会问什么样的问题——然后我就能知道我将要向谁进行报告,他们希望怎样的数据呈现方式了。
2. 提供一份评估报告
Hayslip表示准备工作以及他后来向董事会进行报告的经历,让他明白了一些董事们想知道的内容,即对公司网络安全状况的一份评估以及需要如何进行改进。
告诉他们你处在什么位置,你需要达到什么位置。每次走进会议室,你都要分享有关新风险和新的改善机会的信息,建立在之前(报告)所提供信息的基础上。告诉他们,这是我们现在所处的位置,这是我们不成熟的地方,也是存在风险的地方,从威胁的角度来看,这是我们应该优先考虑的事情,也是为什么……我们与对手在竞争的地方。 |
3. 保持透明性
专家表示,评估报告不应该模糊企业面临的风险,因此首席信息安全官应该提前,并以直接,易懂的方式提供相关信息。
Chinn表示:很多组织机构都有一个威胁情报部门,他们会为董事会收集这些信息,让董事会成员觉得他们已经了解相关信息了。董事会成员想知道企业风险、这种风险带来的商业影响、他们的投资在多大程度已经转化为控制,以及这些投资是否有效降低了风险。
他举了一个很好的例子,来说明如何提供这样的信息:在一个组织机构中,首席信息安全官开发了一个自助应用程序,董事会成员可以根据需要使用该应用程序访问相关信息。
4. 准备应对(棘手的)问题
会议室可不是让人惊喜的地方。因此,IT治理协会ISACA的董事会主席Rob Clyde建议,首席信息安全官们应该预测董事会成员可能提出的问题——尤其是那些最难回答的问题,比如 “我们的安全性有多好?” 和 “我们安全吗?”。
Clyde表示,首席信息安全官们通常很难恰如其分地回答这种类型的问题,因此在匆忙回答间往往会给出不充分或令人困惑的答案。
他建议首席信息安全官们提前考虑,并制定应对措施。他还建议首席信息安全官使用网络安全成熟度模型,比如ISACA的CMMI研究所提供的模型,对这些棘手的问题给出清晰、有意义的回答。
同时,他表示首席信息安全官不应该让董事会、其他高管和首席执行长对此类问题的回答感到意外。Clyse表示,首席信息安全官应该与他们的首席执行官分享他们对这些问题的回答;事实上,首席信息安全官应该确保首席执行官了解他们将要报告的任何内容,这样他们就不会将首席执行官置于任何尴尬的境地。
5. 诚实面对劣势
与此相关的是,经验丰富的高管们表示,在回答有关组织风险和网络安全形势的问题时,首席信息安全官应该实事求是,即使他们担心自己的回答可能会让自己看起来效率低下。Clyde表示:有些董事会问,“我们是100%安全的吗?”,你绝不应该给出肯定的答案,或者提供毫无根据的保证,给出模糊的答案。
6. 但也不要吓到董事会
首席信息安全官看到网络安全攻击的规模不断增加,且日益复杂,因此他们在向董事会解释应对这些威胁所需的资源时,与董事会共享这些信息也就不足为奇了。
你有一些首席信息安全官进入会议室,就会列出的所有正在发生的糟糕的事情,搞的好像天要塌下来一样,但这种恐惧、不确定和怀疑的气氛对董事会不起作用,首席信息安全官可能侥幸脱身,但如果再这样做,他只会惹怒董事会。 |
他表示,董事会当然需要数据,但他们需要能够让他们做出明智的决定的信息,以决定把安全投资放在什么地方,最大限度地降低风险。
7. 获得一位支持者
James Carder,安全解决方案公司LogRhythm的首席信息安全官,同一名拥有技术背景的董事会成员建立了联系,并找他作为导师,帮助他准备董事会会议、审查提交给董事会的材料,并代表他支持安全策略。
他建议其他首席信息安全官也这么做。
在董事会里寻找一位支持者。他们会在你将材料提交给董事会之前给你反馈,(建议)哪些话是重要的、哪些话会引起其他成员的共鸣。而且,当你不在董事会的时候,这位支持者可以与董事会就安全问题进行对话,推动你想要的改变。 |
8. 开门见山
首席信息安全官们已经习惯了在会议上做报告,他们通常在谈及主旨前,会进行一些铺垫,但这种方法不适用于那些珍惜时间的董事会成员。
Clyde表示,不要保留重点,要从一开始就说到点子上。董事会想提前知道你为什么在那里。如果董事会需要采取行动——例如,他们需要考虑购买网络安全保险,或者制定一项政策,决定在发生勒索病毒攻击时,是否支付赎金——那么首先要和董事会提前确认这些。
他表示,首席信息安全官可以在时间允许的情况下提供辅助信息,意识到董事会成员可以在会议前提交的书面材料中找到任何必要的信息。
9. 省略技术环节
Carder谈到,他曾经把自己的安全工作过多地传达给董事会。当董事会成员不得不多次打断他的陈述,询问他使用的术语和他所描述的概念的时候,他知道自己犯了一个错误。
我以为他们知道某些安全技术术语,然后我意识到,我过度描述了所有这些细节,而不是简明扼要地讲述风险。 |
Carder现在更有意识的从他的汇报中省略复杂的技术内容;没有关于最新的漏洞或最新的数据丢失防御技术的详细信息,也没有SIEM供应商选项或入侵监测产品的信息。相反,他将对话重点放在围绕安全性的提炼观点上,并以简单的业务术语展示相关信息。
10. 展示业务价值
很多首席信息安全官在计算安全投资的业务的投资回报率(ROI)时遇到了困难,但是董事会想知道的是他们的安全风险和投资对业务的影响。
这就是Hayslip的目标。他表示:自己展示了项目如何影响赚钱的团队,这就表明项目正在帮助公司做该做的事情。
他曾在一家公司工作,该公司每月大约有50台电脑因为恶意软件而下线,所以他投资了一些技术来降低每月的平均下线率。当他走到董事会之前,Hayslip并没有关注新技术的成本,而是关注降低修复成本和减少宕机时间为组织机构带来的投资价值。
这就是你必须谈论有关价值的内容,以及你正在降低风险的事实。 |
11. 确定衡量成功的标准
Chinn表示,首席信息安全官们应该反思他们是否充分地向董事会传达了信息。因为是否充分和董事会沟通了安全策略对业务的影响,关乎着他们的安全策略将获得多少支持和资金。
Chinn认识一位首席信息安全官,当公司数据泄露成为新闻时,他会通过董事会成员的反应来判断自己在这一方面做的是否成功。
他表示当发生信息泄露事件后,董事会成员提出明智的问题或根本不提问题时,他就知道自己在向董事会报告方面工作做的很好。因为这表明他们信任身为首席信息安全官的他。
12. 把握好机会
Clyde表示,首席信息安全官们应该向全体董事会报告,并指出很多首席信息安全官不是向全体董事会报告,而是向审计和风险委员会报告。如果会议还没有进入董事会的议程,他们应该主动采取行动。
此外,首席信息安全官应该将他们在董事会面前的时间当做一个机会,宣传强大的网络安全项目的重要性,并强调其所在组织机构网络安全功能的优势、差距和战略。Clyde表示,ISACA建议首席信息安全官至少每年应该和董事会召开一次会议。
这是为了建立信任。董事会能看到你在做事情,他们不仅知道你了解自己的工作,还知道你了解这个行业,你正在调整你的安全计划来支持这一点。 |
全美企业董事协会调查报告地址:
https://www.nacdonline.org/analytics/survey.cfm?ItemNumber=64105
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】