在本次访谈中,PlanSource的CISO David Christensen提出了一些策略,以帮助董事会理解和认知网络安全风险管理、战略和治理对企业的更广泛影响。
采访摘录
董事会成员和CISO对网络攻击风险的看法往往不一致。在你看来,造成这种差异的主要原因是什么?
立场不同是董事会成员和CISO并不总是一致的根本原因。董事会成员通常对企业的目标、战略和整体风险前景有更广泛的看法;CISO则负责评估和缓解网络安全风险。这些立场上的差异导致了不同的优先事项和风险评估。然而,当董事会成员和CISO对网络攻击风险的看法不一致时,通常是由于董事会成员缺乏网络安全专业知识,无法理解主题的复杂性以及CISO在与董事会讨论时过于关注技术语言造成的。
向董事会传达网络风险要求CISO理解听众,将技术术语翻译成业务语言,使董事会将CISO视为战略合作伙伴。成为战略合作伙伴还需要CISO从投资回报率的角度来看待他们的网络安全投资,以帮助董事会了解投资与优先级和支出的重要性。
CISO还需要了解,董事会成员的决策时间通常较短,他们更关注季度或年度业绩,而CISO则更关注网络攻击的潜在长期影响,并倡导采取积极措施。这种时间范围的不一致可能导致风险认知的差异。
CISO如何有效地将技术术语翻译成董事会成员能够理解和参与的业务语言?你有什么具体的策略或方法吗?
CISO需要了解董事会成员的知识和背景,以便能够将技术术语翻译成业务语言和目标受众熟悉的内容。以我自身为例,我通过将技术术语与日常情况或业务场景联系起来,让董事会更容易掌握。
为了有效地进行这种沟通,我还会与技术团队之外的其他业务领导合作,以优化业务一致性。专注于网络安全风险的潜在业务影响,还可以让CISO根据其后果(如财务损失或对公司品牌的损害)来构建技术问题。
同样重要的是,要简明扼要,避免过度夸大网络风险,同时仍要专注于你要求董事会权衡的战略目标。为了弥合董事会成员和CISO之间的缺口,CISO必须加强沟通,对董事会成员进行网络安全风险教育,并促进协作决策方法。
许多董事会仍将网络安全视为纯粹的技术问题。他们可以采用什么策略来理解和认知网络安全对企业和战略的更广泛影响?
为了让董事会更好地理解和认知网络安全对企业和战略的广泛影响,需要改变对网络风险的看法和处理方式。董事会可以从克服普遍存在的CISO与董事会之间的“脱节”开始,在董事会会议之外与CISO建立直接的战略关系。董事会还应该把更多的时间花在网络安全话题上,并允许CISO向董事会传达风险,而不仅仅是几张季度幻灯片。网络安全专业知识也需要成为董事会组成的一部分,囊括兼具业务和网络经验的董事。
你如何看待美国证券交易委员会提出的修正案会改变董事会处理网络安全风险管理、战略和治理的方式?
当美国证券交易委员会提出的修正案成为现实时,我预计董事会将更加关注网络安全问题。希望这些变化能够引导董事会在受到事件影响之前投入更多的资源、时间和专业知识来评估、管理和缓解网络安全风险。
我预计,这将导致董事会建立或加强与网络安全相关的治理结构,从而为网络安全监督定义明确的角色和责任,并最终在董事会层面出现网络安全专业人士。这些修正案还将鼓励董事会将网络安全考虑纳入其整体业务战略。
在你看来,董事会成员可以采取哪些具体措施来提高他们对网络安全风险的理解,并评估有效管理这些风险的计划?
董事会成员应该积极学习网络安全知识,参加培训、研讨会和会议,以帮助他们了解新出现的威胁和最新趋势。董事会还应建立一个专门的网络安全委员会,由具有相关专业知识的成员组成,以帮助评估和监督企业内的网络安全举措。
董事会还应与网络安全专家和顾问接触,以深入了解其企业面临的具体风险和挑战。此外,董事会应要求其企业定期进行风险评估,并审查网络安全报告,这将提供有关企业网络安全态势的概述。