[[435905]]

如今的董事會所擁有的信息來源越來越多并且在質(zhì)疑公司安全計劃的效果時準備得更加充分。為了在遠程團隊日益增長的網(wǎng)絡(luò)安全威脅環(huán)境中實現(xiàn)數(shù)字化目標，他們與安全和風險管理領(lǐng)導(dǎo)人的對話也變得更加復(fù)雜和細致。

因此，他們根本不可能會問一些基本的問題，比如我們有多安全?為什么我們?nèi)ツ陝倓偱鷾柿薠，現(xiàn)在又需要在安全方面投入更多的資金?你說我們被“黑”了一百次是什么意思?相反，董事會將進行更加具體、精準的探詢。

安全和風險管理領(lǐng)導(dǎo)人往往難以回答董事會因媒體報道而提出的問題，這導(dǎo)致企業(yè)領(lǐng)導(dǎo)人和技術(shù)領(lǐng)導(dǎo)人之間信任的破裂。

因此，您所準備的回答應(yīng)該將討論引向保證、合規(guī)和對安全實踐的支持。除了個別董事會成員感興趣和關(guān)注的事情之外，整個董事會關(guān)心以下三件事情：

• 收入/任務(wù)：運營或非運營收入以及增強非收入任務(wù)目標
• 成本：避免未來成本以及大幅減少運營費用
• 風險：金融、市場、監(jiān)管合規(guī)和安全、創(chuàng)新、品牌以及聲譽

董事會所提出的問題可以分為以下五個類別：

事件類問題

問題內(nèi)容：怎么會這樣?我以為你已經(jīng)控制住局面了?什么地方出了問題?

提問原因：當一個事件或事情發(fā)生后并且董事會已經(jīng)知道或者首席信息安全官(CISO)正在通知他們時，就會出現(xiàn)此類問題。這一點在目前尤為明顯，因為董事會可能會在大部分員工在家辦公的情況下問一些關(guān)于企業(yè)機構(gòu)安全的具體問題。此類問題也可能出現(xiàn)在任何其他事件中，包括可能已經(jīng)影響到整個企業(yè)機構(gòu)的數(shù)據(jù)泄露。

如何回應(yīng)：有些事件(無論哪種類型)是不可避免的，所以應(yīng)接受事實。分享您所知道的以及您正在做的工作，挖掘您還不知道的事情。簡而言之，接受事件、提供關(guān)于業(yè)務(wù)影響的詳細信息、概述需要解決的弱點或差距并提供緩解計劃。

在董事會面前應(yīng)注意不要只提供一個選項作為最終選擇。雖然安全領(lǐng)導(dǎo)人仍承擔安全和風險監(jiān)督職責，但責任始終由董事會/高管界定。

權(quán)衡類問題

問題內(nèi)容：我們100%安全嗎?你確定嗎?

提問原因：這樣的問題往往來自于那些沒有真正理解安全和業(yè)務(wù)影響的董事會成員。要做到100%的安全或保護是不可能的。您的職責是確定具有最高風險的領(lǐng)域并根據(jù)業(yè)務(wù)需求通過分配有限的資源來管理它們。

如何回應(yīng)：一開始可以這樣說：“由于威脅環(huán)境在不斷演變，我們不可能消除所有信息風險來源。我的職責是采取控制措施來管理風險。隨著業(yè)務(wù)的增長，我們必須不斷重新評估合適的風險級別。我們的目標是建立一個可持續(xù)的計劃來平衡安全需求和業(yè)務(wù)經(jīng)營需求。”

處境類問題

問題內(nèi)容：外面的情況有多糟?在X公司發(fā)生的事情怎么樣了?與其他公司相比，我們的情況如何?

提問原因：董事會成員會通過威脅報告、文章、博客和監(jiān)管壓力來了解風險。他們總是會問別人在做什么，尤其是同行企業(yè)機構(gòu)，而且想知道自身的處境并與其他企業(yè)機構(gòu)進行比較。

如何回應(yīng)：避免猜測引起其他公司安全問題的根本原因，而是回答：“在獲得更多信息之前，我不想猜測X公司的事情。但在我了解到更多信息后，我將十分樂意與您分享。”可以考慮討論一系列更加廣泛的安全對策，例如確定類似的弱點以及如何更新業(yè)務(wù)連續(xù)性計劃等。

風險類問題

問題內(nèi)容：我們知道我們面對的是哪些風險嗎?什么事情讓你夜不成寐?

提問原因：董事會知道接受風險是一種選擇(如果他們不知道，那么您就需要解決這一問題)，但他們想知道公司風險是否得到了妥善的處理，所以您應(yīng)該做好解釋企業(yè)機構(gòu)風險容忍度的準備，以便為風險管理決策辯護。

如何回應(yīng)：解釋風險管理決策對業(yè)務(wù)的影響并確保有證據(jù)支持您的觀點。第二個部分至關(guān)重要，因為董事會會根據(jù)風險容忍度來做出決策。任何高于容忍度閾值的風險都需要采取補救措施將其控制在安全范圍內(nèi)，但這不一定需要在短時間內(nèi)做出巨大的變化，所以應(yīng)注意不要反應(yīng)過度。

董事會希望您保證您正在充分管理重大風險并且在某些情況下應(yīng)采取溫和的長期策略。請記住，董事會要對“整個企業(yè)”的風險負責，而網(wǎng)絡(luò)風險雖然很重要，但也只是其中的一小部分。您應(yīng)該要求自己做到簡明扼要。缺乏控制不是風險，尚未出現(xiàn)的下一個巨大威脅也不是風險。專注于您能夠控制的高價項目上，例如知識產(chǎn)權(quán)損失、監(jiān)管和第三方風險。

績效類問題

問題內(nèi)容：我們是否合理分配了資源?我們的開支是否足夠?我們?yōu)槭裁匆ㄟ@么多錢?

提問原因：董事會想要確認安全和風險管理領(lǐng)導(dǎo)人沒有在停滯不前并希望了解各項指標和投資回報率。

如何回應(yīng)：可以使用平衡記分卡方法，這種方法運用的是一種簡單的交通信號燈機制。最上面的一層應(yīng)表示業(yè)務(wù)愿望和企業(yè)機構(gòu)在這些愿望方面的表現(xiàn)。盡可能從業(yè)務(wù)績效(而不是技術(shù))的角度來解釋這些愿望，并且應(yīng)該使用一系列通過一套客觀標準評估的安全衡量指標來支撐績效。