数据泄露、勒索软件攻击以及对全球疫情相关风险的担忧,提高了企业董事会对网络安全的兴趣。安全领导人表示,董事会已经开始越来越关注安全问题,对网络问题也有了更深刻的理解,并开始就风险暴露和管理方法提出了更复杂的问题。
尽管许多人仍将安全视为是业务经营的一项成本,但越来越多的董事会成员已经开始认为安全性是业务的基础了。随着许多公司在疫情爆发后加速了数字化转型计划,董事会希望了解在劳动力分布更加分散的环境中,安全性将如何能够支持这些努力并支持业务需求。
“董事会对技术和安全的理解已经变得更加精明了,”麦当劳的首席信息官Timothy Youngblood说,“他们在一定程度上受到了证交会的驱动,他们期望董事会具备一定水平的技术专长。”。他们还得到了美国企业董事协会和其他机构在网络安全方面的大量指导。
因此,董事会现在向安全负责人提出的问题也发生了改变。根据Youngblood以及其他人的说法,以下是当今人们最关心的六个问题。
1.网络问责
风险管理公司VigiTrust的首席执行官、新书《董事会中的网络大象》的作者Mathieu Gorge表示,首席信息官需要更好地准备回答董事会中关于网络问责的问题。网络问责是指一个组织证明自己有良好的确保网络安全的能力,如果出现问题,他们可以将一切追溯到一个独特的事件、独特的人或独特的群体,Gorge说。
CISO需要准备好解释什么是网络问责,为什么组织应该关心,该如何开始网络问责之旅,以及它包括了什么。“这只是证明我们能够应对网络攻击,并且我们有一个计划,还是不止于此?它需要涉及到谁,需要花费多少,或者说我们真的需要它吗?”Gorge说。
在阐述应对措施时,安全领导者需要记住,董事会真正想听到的是对整个业务生态系统的问责。这意味着,除了他们自己的组织之外,安全领导者还需要能够描述他们将如何让加盟商、子公司、业务合作伙伴、供应商以及其他的第三方对实施安全最佳实践负责。
这一生态系统可以是国际性的,也可以由复杂而且往往相互冲突的条例和标准来管理,所有这些都需要一定程度的问责制。CISO需要准备好回答他们可能在做什么,或者计划做什么,以证明这种问责制。“你是否能够通过绘制一个生态系统图来展示它,是否能够使用一个向你显示正在发生什么的控件来展示它,是否能够表明你已经分类了组织内各个利益相关者对数据的机密访问权限?”
2.新冠病毒疫情期间及以后的安全状况
商业支付服务公司Fleetcor的CISO James Edgar表示,全球的新冠病毒疫情促使人们转向了远程工作,这也使得人们会更加关注董事会已经在网络安全方面提出的问题。
从IT的角度和整体业务的角度来看,当前的重点是向远程工作的转变将如何影响业务的运营方式。这些问题与组织是否能够将大部分员工转移到远程模式并且仍然能够支持业务有关。
Edgar说,他从董事会接收的问题包括与业务连续性有关的问题,以及新冠病毒疫情来袭时对已经在进行的主要IT项目的潜在影响。“我们能否兑现我们所认为的至关重要的大事?我们能够保持当前的安全性和合规性水平吗?我们的基准是什么?当我们走出新冠病毒疫情时,我们将达到这些标准吗?”
随着事态的稳定,焦点已经转移到本组织在后新冠肺炎的世界里保持其安全态势的能力,以及为实现这一目标将采取的投资措施。Edgar说,对他有效的一种策略是,每季度向董事会提供有关威胁状况和安全领域大趋势的最新信息。“我们会定期向他们提供有关我们所看到的情况以及我们在勒索软件、端点保护、网络监控方面所做工作的最新信息。”
3.安全策略
Youngblood说,与几年前相比,董事会对网络安全的思考已经变得更具战略性。许多董事将网络安全视为其信托责任的一部分,也是其应有的谨慎和忠诚的义务。
“你今天所面临的问题是,你该如何处理不在你控制范围内的事情--就像是第三方一样,”Youngblood说。如今有这么多的外包业务,董事们想听听企业网络安全投资是如何受到保护的。他们希望了解组织从中获得了什么,以及是否有任何可能影响业务目标的东西。
Youngblood表示,董事会喜欢听取组织对网络事件的准备情况,以及在威胁成为主要问题之前是否有检测威胁的控制措施。他们想知道网络安全是否是以这样一种方式与数字化转型联系在一起的,即安全是建立在每一个步骤中的,而不是固定在最后的。值得注意的是,董事会也越来越想知道该组织可能没有进行的任何可能对网络风险产生负面影响的投资,他说。
回答这样的问题可能很棘手,这就是为什么让CISO、CPO和其他利益相关者在董事会上发挥作用是一个好主意。在与董事会讨论战略安全问题时,也要确保你的演讲不会让CISO感到意外,他说。要了解董事会的风险偏好,并确保能够将网络风险纳入企业风险管理的更广泛背景当中。
“我推荐的方法是从能够谈论的业务和业务成果开始,”Youngblood说。“我不会用一种更有策略性的方式进行谈话。”
4.对照行业最佳实践进行基准测试
董事会对其组织的安全状况与同行相比有多好(或多差)非常感兴趣,云服务提供商Netenrich的CISO Brandon Hoffman表示。一个驱动因素可能是,在违规情况下,公司的安全措施会经常与行业最佳实践或同行所采用的实践进行比较。
“最高层对了解与行业相关的风险有浓厚的兴趣,”Hoffman说。这种比较本身往往无助于营造一个更安全、风险更低的环境。即便如此,许多董事会还是希望这样做,因为在业务环境中,有效度量安全性的方法很少。
“CISO犯的最大错误之一是没有将与安全相关的风险与业务风险联系起来,”Hoffman说。“相反,报告会围绕着合规框架和技术度量展开,”这些充其量只是日常行动的指标。“不幸的是,这确实无助于高管或董事会了解其对业务的影响。”
5.抵御网络攻击的能力
虽然董事会在战略、企业风险管理层面对网络安全越来越感兴趣,但他们仍然会深入参与与组织防御和应对网络攻击的能力有关的事务。“他们想知道你是如何利用人员、流程和技术来尽可能地降低风险,同时保持生产力和安全性之间的适当平衡的,”CISO顾问和首席安全科学家Joseph Carson说。
董事会可能提出的问题,以及CISO需要准备解释的问题,包括关键业务服务面临勒索软件等威胁的风险,以及为降低勒索软件或其他攻击对业务服务的影响所采取的措施。“哪种威胁最有可能影响到业务,有哪些财务风险和降低风险的选项,”他表示。“我们的网络风险差距有多大,又比如降低风险的成本与完全不作为的成本?”
准备好回答关于事故响应计划的问题,以及你是否已经测试了对业务最有可能的潜在威胁。“我们要做什么来细分业务的各个部分并控制访问权限?”Carson说。“我们超出了哪些法规和合规要求,达到了哪些要求,或未达到哪些要求,以及它们是如何与业务网络风险保持一致的?”
6.持续合规性
你需要准备好谈论持续的合规性和持续的安全性,Gorge说。董事会成员往往会问,在网络安全方面的投资能为公司赢得多少时间。“问题是,‘好吧,我们要这样做一次,这会让我们在几年里保持良好,对吗?或者我们需要持续这样做吗?’”他说。
这就是为什么CISO和其他安全领导者需要引入这样一种理念的原因,即安全性和合规性是一个旅程,而不是目的地,Gorge说。他们需要证明,随着业务的发展,安全的需求也在不断变化。重要的是,安全领导人应该强调需要在资金、时间和精力方面持续对网络安全进行投资。解释在三到五年的时间里,这些投资将如何降低成本、提高安全性、提高客户信心以及会带来哪些其他切实的好处。
在网络问责和持续合规性的双重背景下,CISO所面临的最大挑战是展示网络安全将如何成为一种业务推动因素,而不仅仅是成本,Gorge说。“与其说‘如果我们不这样做,就可能会发生安全事故’,不如展示你将如何利用现有的模型,以一种实际上能够增加价值的方式,将网络安全纳入到资产负债表当中。”
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号