以下是安全领导者如何在董事会中引起共鸣的实用建议。

将风险转化为金钱

董事会并非由技术人员组成，大多数成员来自财务、法律或运营部门，他们从业务表现、责任和股东价值的角度思考。

因此，不要带着威胁源或补丁统计数据出现，专注于对他们重要的事情。例如：

• 勒索软件攻击如何可能使营收中断一周

• 审计失败可能如何影响客户信任

• 数据泄露可能如何触发监管罚款

在与董事会交流时，网络安全领导者需要从技术术语转向风险和财务语言。“董事会从概率和财务影响的角度思考，而不是技术术语，”Optiv全球网络风险和董事会关系副总裁詹姆斯·图尔加尔(James Turgal)说。

为了使网络风险引起共鸣，图尔加尔使用风险量化模型，如FAIR(信息风险因素分析)。这些模型允许CISO用董事会能理解的方式表达威胁。“我首先估计三件事：坏事可能发生的频率、可能造成的损失以及在品牌、销售或市场份额方面的业务影响。”他解释道。

图尔加尔不谈论恶意软件变种或攻击向量，而是呈现场景，如：“今年勒索软件攻击的风险为5%，如果发生，平均损失将为450万美元。”他还将网络风险与具体的业务结果联系起来。例如，他可能会展示客户门户被入侵如何因服务中断和客户流失而在一个季度内减少8%的营收。

“每位首席财务官都知道系统停机导致的每日运营损失数字，”图尔加尔指出。“CISO只需进行计算。”

图尔加尔还建议将网络风险与董事会已经使用的财务指标对齐，如风险价值。“如果我们不升级云安全控制，我们预计年度损失敞口为120万美元，”他可能会说。这有助于将技术决策转化为董事会可以权衡和采取行动的底线后果。

关注趋势，使用通俗语言

董事会不需要每个威胁警报，但他们确实想知道情况是在变好还是变坏。向他们展示一段时间内的进展。例如：

• 钓鱼尝试和响应时间的季度趋势

• 显示员工在模拟攻击中的点击率的指标

• 将当前风险水平与上一季度进行比较的记分卡

突出异常值。什么在恶化?什么在控制之中?对差距保持透明，并说明你正在采取什么措施来弥补它们。

避免使用术语。说“罪犯入侵了”而不是“未经授权的访问”。说“他们加密了我们的文件并要求赎金”而不是“勒索软件事件”，然后，用简单的视觉辅助工具来支持你的观点。饼图或风险热图比满是数字的电子表格有效得多。

保持更新简短。董事会会议时间紧张。不要用细节淹没他们。目标是进行一次五分钟的更新，包含清晰的要点：什么变了?风险是什么?你有什么建议?

“面对复杂的技术主题和不断演变的威胁，典型的时间段往往不足以进行有意义的对话。安全领导者可以通过提前准备简洁、以业务为中心的简报材料，并优先讨论最关键的问题来解决这个问题。当时间限制持续存在时，他们应该倡导召开专门会议，以确保对网络安全事务进行适当的监督。”Team8的驻场CISO罗斯·杨(Ross Young)说。

将安全与业务目标联系起来

为了将网络安全与业务目标对齐，CISO必须了解公司的核心使命，并确定安全与该使命的交集。“一个例子是创建一个关于网络安全如何保护营收和增长的谈话框架，”图尔加尔说。当信任受到损害时，后果是即时的：影响销售、品牌忠诚度，并最终影响市场份额。

据图尔加尔称，这种对齐往往归结为将特定的安全举措与公司的战略目标联系起来。例如，如果企业正在扩展到国际市场，CISO可以通过获得网络安全认证(如ISO 27001)或与GDPR隐私框架对齐来支持这一目标。这些不仅降低了风险，还有助于在新地区建立信誉。

在与董事会沟通时，图尔加尔建议将网络安全举措映射到股东价值上。“如果业务目标是保护股东价值，那么这与业务连续性和提高运营正常运行时间有直接联系。”为了支持这一点，安全领导者可能会通过容器化不可变备份、灾难恢复和事件响应计划来提高网络韧性——这些工具可以减轻损害品牌的攻击并防止股价波动。

合规性是安全与业务战略相交的另一个领域。“如果业务目标是保持合规性并避免或减少罚款，那么网络安全的关联将是投资和实施合规自动化应用程序和安全控制，”图尔加尔解释道。这些措施确保与PCI-DSS、SOX或HIPAA等法规保持一致，具体取决于组织的行业。

预测董事会问题

在每次会议前，问自己：

• 他们现在最关心什么风险?

• 是否有他们会问我的头条新闻?

• 我需要他们做出什么决定?

以这些问题为框架准备你的更新。并练习回答诸如以下问题：

• 我们做得够吗?

• 我们与同行相比如何?

• 这会发生在我们身上吗?

不要害怕说“我不知道”，但总是要跟进说“我会查明并回复你”。

每次董事会会议后，跟进一份书面总结：你展示了什么，你得到了什么反馈，以及做出了什么决定，这建立了责任感并展示了专业性，它还有助于在优先级发生变化或预算削减时。你将有一个记录，说明达成了什么共识，以及为什么它很重要。

在董事会外建立关系

一些最有成效的对话并不发生在会议中，它们发生在喝咖啡时，或与个别董事会成员的通话中。

如果可能，与董事安排一对一会议，向他们介绍关键风险，问他们想了解更多什么。找出他们更喜欢如何接收信息。

通过在会议外建立融洽关系，你在会议中将面临更少的意外。

你在董事会中的最强盟友通常是首席财务官和法律负责人，他们理解风险和责任，并说董事会的语言。

与他们合作来塑造你的信息。请他们检验你的数据，并帮助完善风险的财务影响。如果他们支持你，你的信息将更有分量。

拥有健康董事会关系的CISO往往在整个组织中有更好的协作。根据最近的Splunk研究，他们也更有可能被赋予追求生成性AI用例的能力，如创建威胁检测规则、分析数据源、事件响应和取证调查，以及主动威胁狩猎。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。