CISO如何在董事會討論中提升網絡安全意識
羅斯·楊(Ross Young)是Team8的駐場CISO,也是OWASP威脅與保障矩陣(TaSM)的創建者。在采訪中,他分享了自己對于網絡安全專業人員如何調整其演示內容以貼合董事會需求,并使安全策略與業務優先事項相一致的看法。
他還討論了董事會對網絡安全存在的常見誤解,并就如何與高管建立持久關系提供了實用建議,以確保網絡安全在持續的業務討論中始終占據核心地位。
網絡安全專業人員在調整其演示內容以貼合董事會優先事項時,應考慮哪些關鍵因素?
向董事會做匯報的網絡安全領導者需要從業務增長和收入影響的角度來闡述網絡安全計劃,而不僅僅是風險緩解。董事會成員希望了解安全計劃如何直接影響公司的底線,因此演示內容需要突出安全措施如何增強客戶信心并推動銷售完成。例如,在電子商務中,簡化的多因素身份驗證使交易更加順暢,可以顯著降低購物車放棄率并增加收入。
網絡安全專業人員可以通過分享漏洞管理如何保護創收服務的具體例子來增強其論點。他們可以展示主動安全測試如何在銷售高峰期保持關鍵客戶面向應用程序的運行,從而在競爭對手遭遇中斷時維持收入流。關于有效災難恢復規劃在困難時期保持業務運營的故事尤其能引起董事會成員的共鳴。
通過采用董事會所理解的業務價值和盈利能力語言,安全專業人員可以更有效地為其計劃獲得支持和資源。關鍵在于始終將安全計劃與可衡量的業務成果聯系起來。
董事會對網絡安全有哪些常見誤解,應如何解決?
首先,董事會經常認為僅靠足夠的支出就能防止所有網絡攻擊,這根本不是事實,而且忽視了安全如何在所有三條防線中發揮作用。雖然投資很重要,但企業需要在運營管理(第一道防線)、風險管理職能(第二道防線)和內部審計(第三道防線)之間協調努力,以創建有效的安全態勢。完全防止攻擊是不可能的,因此韌性和響應能力與預防措施同樣重要。
另一個誤解是過分重視ISO 27001和SOC2 Type 2等認證。雖然這些認證滿足第二道防線的合規要求,并有助于客戶保證,但它們并不能自動轉化為強大的安全。第一道防線,包括開發人員和運營人員,必須在日常工作中積極實施安全實踐,無論認證狀態如何。
最后,董事會經常誤解安全責任。雖然安全團隊通常與風險管理和合規職能一起在第二道防線中運作,但安全的主要責任始于第一道防線的運營團隊,特別是負責保護其應用程序的開發人員。第三道防線(內部審計)提供獨立保證,但不能替代強大的第一道防線安全實踐。
網絡安全領導者在向董事會做匯報時可能會面臨哪些常見的反駁或挑戰,應如何應對?
最困難的是透明地傳達持續存在的風險,特別是在解決這些風險方面進展有限時。領導者可能會感受到壓力而淡化這些持續存在的漏洞,但這樣做可能會產生虛假的安全感。關鍵在于從業務影響的角度闡述這些持續風險,同時提出切實可行的、分階段的風險降低方法。
另一個重大挑戰是討論可能給公司帶來責任的風險。安全領導者必須在履行向董事會通報重大威脅的義務的同時,注意此類討論可能如何影響法律責任。與法律顧問密切合作,適當構建這些對話,有助于在這個敏感領域進行導航。
也許最具挑戰性的是董事會會議中為網絡安全討論分配的時間通常不足。鑒于需要涵蓋復雜的技術主題和不斷演變的威脅,典型短暫的時間段往往不足以進行有意義的對話。安全領導者可以通過提前準備簡潔、以業務為重點的簡報材料,并優先討論最關鍵的問題來解決這一問題。當時間限制仍然存在時,他們應主張安排專門會議,以確保對網絡安全事項進行適當的監督。
哪些指標或關鍵績效指標(KPI)能夠最有效地向非技術受眾傳達網絡安全狀況?
最成功的演示側重于趨勢數據,而不是技術細節,始終將指標與業務目標聯系起來。選擇少數幾個高影響力的測量指標,以董事會成員自然理解的方式清晰展示進展和挑戰。
在向非技術背景的董事會成員介紹網絡安全狀況時,應重點關注能夠清晰展示業務影響和風險的指標。例如,使用可視化風險矩陣的風險降低指標提供了一種直觀的方式來展示在減少威脅方面所取得的進展。安全投資和回報指標,特別是每起事件的成本和預算利用率,由于與財務決策相一致,因此引起了強烈共鳴。
事件檢測與響應指標講述了關于運營有效性的令人信服的故事,而第三方和供應鏈風險指標則突出了關鍵業務關系中的漏洞,這些可以有效地與威脅態勢指標配對,以提供當前安全環境的背景信息。
哪些策略最能促進持續對話,而不是一次性演示?
通過高管風險委員會進行定期互動,為網絡安全討論提供了一個比孤立的董事會演示更有效的平臺。與C級高管的月度會議使安全領導者能夠持續了解不斷演變的威脅和安全計劃的進展。這種節奏使討論更加細致入微,并幫助高管隨著時間的推移對網絡安全挑戰形成更深入的理解。
然而,由于并非所有企業都設有正式的風險委員會,安全領導者可能需要創建替代渠道以促進持續對話,這可能包括季度業務對齊會議、將定期安全更新納入現有高管會議,或與關鍵利益相關者的非正式簡報。關鍵在于建立一種可預測的溝通節奏,使網絡安全始終保持在高管議程上,而不是將其視為周期性的合規活動。
通過保持定期的接觸點,安全領導者可以與高管建立更牢固的關系,并確保網絡安全始終是戰略業務討論的一部分,而不是一年一度的演示活動。
