数据泄露、勒索软件攻击加剧了企业董事会对网络安全的关注。安全领导表示,董事会越来越多地参与到安全事务中,对网络问题有了更深刻的理解,并针对风险暴露和管理风险的方法提出了更复杂的问题。
尽管很多人仍然把安全看成是开展业务的一项成本,但越来越多的董事会成员将其视为业务的基础。随着众多的企业加快了数字化转型计划,董事会想知道,在员工越来越分散的环境中,安全怎样支持转型举措,满足业务需求。
麦当劳公司首席信息官Timothy Youngblood说:“董事会越来越精于理解技术和安全问题。”他说:“这是因为他们在一定程度上受到了SEC的影响,自己也期望董事会具备一定水平的技术专长。”他们还得到了全国企业董事协会和其他机构在网络安全方面的大量指导。
因此,董事会现在向安全领导们提出的问题也发生了很大变化。据Youngblood等人的研究,以下列出了当今董事会最关心的6个问题。
1. 网络问责
风险管理公司VigiTrust的首席执行官、新书《董事会里的网络大象》的作者Mathieu Gorge指出,首席信息安全官应做好更充分的准备,以回答董事会有关网络问责的问题。Gorge介绍说,“网络问责”指的是一个部门有能力证明他们有良好的网络环境,如果出了问题,他们可以追溯所有问题,定位到某个具体的事件、人或者群体。
首席信息安全官应准备好解释什么是网络问责,企业为什么要关注它,怎样开始网络问责之旅,以及它包括什么。Gorge说:“这只是为了证明我们能够应对网络攻击,而且我们有相应的计划,还是不止于此?涉及到谁,花费多少,我们真的需要吗?”
在阐明应对措施时,安全领导们应注意,董事会真正想听到的是对企业整体生态系统的问责。这意味着,除了他们自己的部门之外,安全领导们还应该能够描述他们怎样让特许经营商、子公司、业务合作伙伴、供应商和其他第三方为实施安全最佳实践负责。
这种生态系统可以是国际性的,由复杂而且往往相互冲突的条例和标准来监管,所有这些都需要某种程度的问责。首席信息安全官需要准备好回答他们正在做什么,或者计划做什么,以阐明自己的责任。“你是否能够通过绘制生态系统图来进行展示,是否能够使用显示正在发生什么的控件来进行展示,是否能够阐明已经对企业内各个相关方的数据访问权限进行了分类?”
2. 疫情及以后的安全态势
商业支付服务公司Fleetcor的首席信息官James Edgar表示,疫情后人们转向远程工作,从而导致董事会在网络安全方面提出的问题更加备受关注。
从IT和整个业务部门的角度来看,很多直接关注的焦点都集中在转向远程工作将怎样影响业务运营方式上。这些问题涉及到企业是否有能力将大多数员工转移到远程工作模式,并且仍然能够为业务提供支持。
Edgar说,他从董事会收到的问题包括与业务连续性有关的问题,以及疫情来袭时对已经开始实施的主要IT项目会有什么影响等。“我们还能把我们最为重要的大事做好吗?我们是否能维持当前的安全以及合规级别?我们的基准是什么,当我们走出新冠疫情时,我们还能达到这些标准吗?”
随着事态的稳定,重点已经转移到企业在后疫情世界中维持其安全态势的能力,以及将采取何种投资方式来实现这种能力。Edgar说,对他来说行之有效的一种策略是,每季度向董事会提供关于安全领域威胁形势和重要趋势的最新信息。他介绍说:“我们定期向他们提供我们在勒索软件、端点保护、网络监控方面所看到的情况以及我们所做工作的最新信息。在安全问题上,我们Fleetcor不能独善其身,而是放眼世界,兼济天下。”
3. 安全策略
Youngblood说,与几年前相比,董事会对网络安全的思考更具战略性。很多董事将网络安全视为自己的本职工作,也是应尽的责任和忠诚义务。
Youngblood说:“你今天遇到的问题是,怎样处理那些不受控制的事情,比如第三方的。”如今有这么多的外包业务,董事们想听听企业网络安全投资是怎样受到保护的。他们想了解企业从中得到了什么,以及是否有影响业务目标的因素。
Youngblood说,董事会喜欢听到企业应对网络事件的准备情况,以及在威胁成为重大问题之前是否有控制措施检测到威胁。他们想知道,网络安全是否与数字转型链紧密相连,安全是否被内置到每一个步骤中,而不是最后才加上去。他说,值得注意的是,董事会越来越想了解企业还没有进行但可能对网络风险产生不利影响的投资。
回答这些问题会很棘手,因此,让首席信息官、首席产品官和其他相关方在董事会会议上也畅所欲言是不错的主意。他说,在与董事会讨论战略安全问题时,你的发言一定不要让首席信息官感到意外。了解董事会的风险偏好,确保将网络风险置于企业风险管理的范围内。
Youngblood说:“我推荐的方法是从谈论业务和业务成果开始。我不会以非常策略性的方式进行谈话。”
4. 对照行业最佳实践进行基准测试
云服务提供商Netenrich的首席信息官Brandon Hoffman指出,董事会对他们企业的安全状况与同行相比有多好或多差非常感兴趣。其中一个原因可能是,在出现泄露事件时,企业的安全措施往往会与行业最佳实践或同行采用的做法进行比较。
Hoffman说:“最高层对了解与行业相关的风险有着浓厚的兴趣。”这种比较本身往往对营造更安全、风险更小的环境没有多大作用。即便如此,很多董事还是希望这样做,因为在业务环境中,有效衡量安全性的方法很少。
Hoffman说:“首席信息安全官犯的最大错误之一是没有将安全相关风险与业务风险联系起来。相反,报告往往围绕着合规框架和技术度量展开,这些充其量只是日常工作的指标。这确实无助于高管或者董事会理解对业务的影响。”
5. 抵御网络攻击
董事会不仅在战略和企业风险管理层面上对网络安全越来越感兴趣,而且他们仍然深入参与与企业抵御和应对网络攻击能力相关的工作。Thycotic首席信息安全官顾问兼首席安全科学家Joseph Carson评论说,他们想知道你是如何使用人员、流程和技术来尽可能降低风险的,同时还要在工作效率和安全性之间保持适当的平衡。
董事会可能会问及,首席信息安全官需要准备解释的问题包括:关键业务服务暴露给勒索软件等威胁的风险,以及为降低勒索软件或其他攻击对业务服务的影响而采取的措施等。他说:“哪种威胁最有可能影响业务,以及有哪些财务风险,降低风险有哪些选择。我们的网络风险差距有多大,比如降低风险的成本与不采取任何措施的成本相比如何?”
准备好回答有关事件响应计划的问题,以及你是否已针对极有可能严重影响业务的每一种威胁进行了测试。Carson说:“我们应采取什么措施来细分业务的各个部分并控制访问权限?我们超越了哪些法规和合规要求,满足了哪些,未能满足哪些,以及这些法规和合规要求怎样与业务网络风险相适应?”
6. 持续合规
Gorge说,应准备好讨论持续合规和持续安全性。董事会成员往往会问,在网络安全方面的投资需要多长时间才能让公司得到回报。他说:“人们会问,'好吧,我们就这么试一次,那么今后好几年都会保持得不错,对吗?还是需要我们持续的投入?”
Gorge说,在此,首席信息安全官和其他安全领导们应引入这样一种理念:安全与合规是一个过程,而不是终点。他们应阐明,随着业务的发展,安全需求也在不断变化。重要的是,安全领导们要强调在网络安全方面持续投资的必要性,包括资金、时间和精力等。解释在3~5年的时间里,这些投资将怎样降低成本、提高安全性、增强客户信心并带来其他切实的好处。
Gorge说:“在网络问责和持续合规的双重背景下,首席信息安全官面临的最大挑战是展示网络安全怎样成为一种业务推动因素,而不仅仅是花钱。与其说‘如果我们不这么做,可能会发生安全事故’,不如展示一下怎样利用现有的模式,一种真正增加价值的方式,将网络安全纳入资产负债表。”