7月26日，美國證券交易委員會最終確定了新的網絡安全法規，要求上市公司在四天內披露網絡安全漏洞，并提高其董事會的網絡專業知識水平，以及對管理和評估網絡風險的監督。該機構于2022年提出了這些規定，最終決定預計將于2023年10月做出。

隨著企業大規模投資數字化轉型，CISO現在比以往任何時候都更應該做好準備，來鼓勵其他領導者參與管理和解決網絡風險。

尋找最新最好的技術

數字化企業世界的激烈競爭促使企業領導者不斷尋找最新、最偉大的創新技術，以助力他們脫穎而出。

這些技術在不同的計算時代呈指數級發展。它始于集中式大型機，然后在20世紀90年代過渡到微型計算機和個人電腦。然后是互聯網時代，再之后是2000年代的移動設備革命，以及2010年代向云計算的擴張。

我們現在已經進入了另一個變革時代：當前的AI和ML軍備競賽雖然令人興奮，但也為CISO帶來了一系列新的運營風險。

 知道什么時候說“是”

精簡業務關鍵功能、緩解瓶頸和提高運營效率的努力使數字化轉型成為每個企業的首要任務。當收入和客戶滿意度受到影響時，采用新技術并了解與之相關的網絡風險是勢在必行的。

CISO要想成為真正的業務伙伴，對每一個新機會都說“不”是不可行的。但是，知道如何以及何時在不危及組織安全態勢的情況下說“是”可能很棘手。

這凸顯了簡化高管層和董事會對網絡風險的集體理解的重要性。CISO的角色不再是戰術推動者或純粹的技術專家。它是關于如何成為一個變革性的領導者，以縮小企業的網絡安全和業務運營之間的差距，并幫助推動市場采用和持續成功。

高層參與：使網絡風險與業務目標保持一致

有效地讓高管參與進來是基于簡化網絡風險和業務風險之間的聯系。這需要解讀網絡攻擊的影響，并清楚地勾勒出它可能對基本業務目標造成的嚴重后果，而不是夸大其詞地描繪“世界末日”的故事。

在與首席財務官的對話中，這種聯系可能是與勒索軟件事件導致的運營停機相關的財務損失;對于首席營銷官來說，這可能是客戶個人身份信息(PII)數據泄露后的品牌聲譽受損;對于首席運營官來說，這可能是供應鏈中斷后的業務中斷。

這個游戲的本質是傳達“不作為”的含義，并將其與各個領導者眼中最有意義的結果聯系起來。因為圍繞擴展檢測和響應(XDR)解決方案、泄漏和分布式拒絕服務(DDoS)攻擊的復雜性討論永遠不會與非技術受眾產生共鳴。

而且，更深入地說，它也可能在CISO沒有真正意識到的情況下給人一種輕視的感覺，從而進一步加劇網絡威脅形勢的復雜性。

董事會參與：建立信任和信心

隨著網絡威脅的性質不斷演變，圍繞總體網絡風險的監管格局也在不斷變化。隨著美國證券交易委員會新規的生效，董事會終于開始認識到數字時代網絡彈性的緊迫性，并進一步承諾為企業配備適當的資源，以主動保護數據和實現自我保護。

這種模式轉變的連鎖反應是，安全領導者現在比以往任何時候都更多地從董事會獲得見解和建議。CAP集團今年早些時候的一項研究發現，在Russell 3000 index公司中有90%缺少一名具備必要網絡專業知識的董事。反過來，CISO被要求在董事會中建立和維持一條開放的溝通渠道。

快速和持續的更新

考慮到嚴格的合規要求即將生效，董事會需要快速、持續地更新網絡威脅形勢。在這種情況下，有效的參與需要對最終目標有堅定的理解。這并不是要求組織的主要管理機構進行網絡預算或批準的問題。相反地，這是一份請愿書，讓人們相信，該組織有能力在網絡危機中管理好自己，并在遵守相應法規的情況下緩解其后果。

在董事會環境中，時間是至關重要的——首席信息安全官通常只有15到30分鐘的時間來陳述自己的觀點。所以，不要使用大量的ppt和冗長的演講，而是利用有影響力的講故事技巧和合乎邏輯的真實世界的例子來引起共鳴。

這不僅僅是為了表達網絡風險，而是要讓他們切實地感受到它的影響。