向董事會彙報網路安全工作的12條建議
網路安全是董事會最關心的問題之一。實際上,在全美企業董事協會(National Association of Corporate Directors)調查的近500名企業領導中,有42%的人將網路安全風險列為他們面臨的五大最緊迫問題之一,僅次於監管環境的變化和經濟發展減速。
因此,安全管理人員頻繁向董事會彙報他們面臨的風險以及減輕風險的策略。然而,很多董事會成員發現,他們沒有從首席資訊保安官那裡獲得所需的資訊。
管理諮詢公司麥肯錫(McKinsey & Co.)高階合夥人David Chinn表示:
首席資訊保安官在向董事會傳達網路安全風險時,應該遵循一些最優做法並避免常見錯誤。
1. 充分做好準備工作
高官們應該在進行彙報前幾周,將準備好的書面報告上交給董事會成員。一些人認為提前做好準備工作就足夠了,但有經驗的高管和領導顧問表示,首席資訊保安官們(特別是是那些在董事會開始之前時間有限的人)需要更專注於準備工作,甚至去接受特定的培訓。
Hayslip在向新董事會進行第一次彙報之前,請求他的首席財務官幫自己聯絡一位願意幫助他準備這次彙報的高管。他表示:如果我要向董事會做報告,而我從來沒有和他們交談過,我可不想走進冰冷的董事會。我不知道他們會問什麼樣的問題,我不知道他們想要了解什麼。所以我和同事進行了溝通,詢問其他已經在董事會面前進行彙報並得到反饋的其他高官們——都有誰在那裡,他們是什麼樣人,他們會問什麼樣的問題——然後我就能知道我將要向誰進行報告,他們希望怎樣的資料呈現方式了。
2. 提供一份評估報告
Hayslip表示準備工作以及他後來向董事會進行報告的經歷,讓他明白了一些董事們想知道的內容,即對公司網路安全狀況的一份評估以及需要如何進行改進。
3. 保持透明性
專家表示,評估報告不應該模糊企業面臨的風險,因此首席資訊保安官應該提前,並以直接,易懂的方式提供相關資訊。
Chinn表示:很多組織機構都有一個威脅情報部門,他們會為董事會收集這些資訊,讓董事會成員覺得他們已經瞭解相關資訊了。董事會成員想知道企業風險、這種風險帶來的商業影響、他們的投資在多大程度已經轉化為控制,以及這些投資是否有效降低了風險。
他舉了一個很好的例子,來說明如何提供這樣的資訊:在一個組織機構中,首席資訊保安官開發了一個自助應用程式,董事會成員可以根據需要使用該應用程式訪問相關資訊。
4. 準備應對(棘手的)問題
會議室可不是讓人驚喜的地方。因此,IT治理協會ISACA的董事會主席Rob Clyde建議,首席資訊保安官們應該預測董事會成員可能提出的問題——尤其是那些最難回答的問題,比如 “我們的安全性有多好?” 和 “我們安全嗎?”。
Clyde表示,首席資訊保安官們通常很難恰如其分地回答這種型別的問題,因此在匆忙回答間往往會給出不充分或令人困惑的答案。
他建議首席資訊保安官們提前考慮,並制定應對措施。他還建議首席資訊保安官使用網路安全成熟度模型,比如ISACA的CMMI研究所提供的模型,對這些棘手的問題給出清晰、有意義的回答。
同時,他表示首席資訊保安官不應該讓董事會、其他高管和首席執行長對此類問題的回答感到意外。Clyse表示,首席資訊保安官應該與他們的執行長分享他們對這些問題的回答;事實上,首席資訊保安官應該確保執行長瞭解他們將要報告的任何內容,這樣他們就不會將執行長置於任何尷尬的境地。
5. 誠實面對劣勢
與此相關的是,經驗豐富的高管們表示,在回答有關組織風險和網路安全形勢的問題時,首席資訊保安官應該實事求是,即使他們擔心自己的回答可能會讓自己看起來效率低下。Clyde表示:有些董事會問,“我們是100%安全的嗎?”,你絕不應該給出肯定的答案,或者提供毫無根據的保證,給出模糊的答案。
6. 但也不要嚇到董事會
首席資訊保安官看到網路安全攻擊的規模不斷增加,且日益複雜,因此他們在向董事會解釋應對這些威脅所需的資源時,與董事會共享這些資訊也就不足為奇了。
他表示,董事會當然需要資料,但他們需要能夠讓他們做出明智的決定的資訊,以決定把安全投資放在什麼地方,最大限度地降低風險。
7. 獲得一位支持者
James Carder,安全解決方案公司LogRhythm的首席資訊保安官,同一名擁有技術背景的董事會成員建立了聯絡,並找他作為導師,幫助他準備董事會會議、審查提交給董事會的材料,並代表他支援安全策略。
他建議其他首席資訊保安官也這麼做。
8. 開門見山
首席資訊保安官們已經習慣了在會議上做報告,他們通常在談及主旨前,會進行一些鋪墊,但這種方法不適用於那些珍惜時間的董事會成員。
Clyde表示,不要保留重點,要從一開始就說到點子上。董事會想提前知道你為什麼在那裡。如果董事會需要採取行動——例如,他們需要考慮購買網路安全保險,或者制定一項政策,決定在發生勒索病毒攻擊時,是否支付贖金——那麼首先要和董事會提前確認這些。
他表示,首席資訊保安官可以在時間允許的情況下提供輔助資訊,意識到董事會成員可以在會議前提交的書面材料中找到任何必要的資訊。
9. 省略技術環節
Carder談到,他曾經把自己的安全工作過多地傳達給董事會。當董事會成員不得不多次打斷他的陳述,詢問他使用的術語和他所描述的概念的時候,他知道自己犯了一個錯誤。
Carder現在更有意識的從他的彙報中省略複雜的技術內容;沒有關於最新的漏洞或最新的資料丟失防禦技術的詳細資訊,也沒有SIEM供應商選項或入侵監測產品的資訊。相反,他將對話重點放在圍繞安全性的提煉觀點上,並以簡單的業務術語展示相關資訊。
10. 展示業務價值
很多首席資訊保安官在計算安全投資的業務的投資回報率(ROI)時遇到了困難,但是董事會想知道的是他們的安全風險和投資對業務的影響。
這就是Hayslip的目標。他表示:自己展示了專案如何影響賺錢的團隊,這就表明專案正在幫助公司做該做的事情。
他曾在一家公司工作,該公司每月大約有50臺電腦因為惡意軟體而下線,所以他投資了一些技術來降低每月的平均下線率。當他走到董事會之前,Hayslip並沒有關注新技術的成本,而是關注降低修復成本和減少宕機時間為組織機構帶來的投資價值。
11. 確定衡量成功的標準
Chinn表示,首席資訊保安官們應該反思他們是否充分地向董事會傳達了資訊。因為是否充分和董事會溝通了安全策略對業務的影響,關乎著他們的安全策略將獲得多少支援和資金。
Chinn認識一位首席資訊保安官,當公司資料洩露成為新聞時,他會通過董事會成員的反應來判斷自己在這一方面做的是否成功。
他表示當發生資訊洩露事件後,董事會成員提出明智的問題或根本不提問題時,他就知道自己在向董事會報告方面工作做的很好。因為這表明他們信任身為首席資訊保安官的他。
12. 把握好機會
Clyde表示,首席資訊保安官們應該向全體董事會報告,並指出很多首席資訊保安官不是向全體董事會報告,而是向審計和風險委員會報告。如果會議還沒有進入董事會的議程,他們應該主動採取行動。
此外,首席資訊保安官應該將他們在董事會面前的時間當做一個機會,宣傳強大的網路安全專案的重要性,並強調其所在組織機構網路安全功能的優勢、差距和戰略。Clyde表示,ISACA建議首席資訊保安官至少每年應該和董事會召開一次會議。
全美企業董事協會調查報告地址:
https://www.nacdonline.org/analytics/survey.cfm?ItemNumber=64105
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】