至少对于那些有着健康安全文化的企业而言,安全负责人与董事会高管之间的距离正在缩小。许多企业的高管已经很大程度上的接受,他们需要了解网络安全风险与企业经营风险的关系,如何担当治理责任,以及网络风险如何从财务、名誉、法律、运营等层面影响企业。数字化业务的程度越高,网络安全就会越成为影响竞争力、业务连续性、可靠性和信任度的关键问题。
网络安全逐渐上升为董事会级别的讨论内容,这一趋势已经成为业界共识。但面对专业的网络安全语境时,董事会高管往往难以理解这些术语或指标到底意味着什么。以下是让董事会更好地理解网络风险的三种汇报方式。
1. 理解董事会的责任
与董事会建立有效的沟通,需要安全负责人从业务的角度出发,理解董事会的职责范围和责任,以及技术如何驱动业务生态系统。同时,安全负责人要尽量争取到企业风险管理人员的支持,因为在向董事会解释网络风险带来的运营与战略风险方面,风险管理人员所具备的知识最为匹配。
2. 用董事会熟悉的格式展示数据
通过数据显示面板结合图例用数据丢失、数据可靠性、系统可靠性等分类,对像关键性能、关键控制和关键风险等指标进行风险的展示。这种类型的数据可以帮助董事会在安全预算和新技术的部署方面做出合理的决策,也就是说要站在企业风险的角度来使用相关数据。
把一堆风险场景提供给董事会并没有什么作用,但要是把这些场景用可量化的指标,按照优先级顺序并辅以高层比较熟悉的格式展现出来,效果就会有着很大的不同。董事会成员最熟悉管理财务指标,因此风险管理的指标越类似于财务报表和收入预测,作管理网络安全风险的决策就越容易。
3. 了解你的基准
还有一种非常重要的汇报方式,就是借用友商的例子来构建讨论框架。强调入侵事件给竞争对手带来的影响固然会抓住董事会的注意力,但更为重要的是要有实质性的谈话效果。如,企业在风险控制措施的成熟度上与友商的比对。如果两者存在差距的话,需要采取何种措施来弥补差距。