?網(wǎng)絡(luò)安全如今已經(jīng)成為企業(yè)董事會成員越來越關(guān)注的一個主要話題。在研究機構(gòu)去年進行的一項全球調(diào)查中，將網(wǎng)絡(luò)攻擊和數(shù)據(jù)丟失列為與新冠疫情相關(guān)的變化(例如在家遠程工作、混合工作和云遷移)導致企業(yè)董事會成員和高管關(guān)注的兩大風險。該調(diào)查涵蓋了美國、英國、歐洲和亞太地區(qū)的各個行業(yè)領(lǐng)域。

隨著許多數(shù)據(jù)泄露和勒索軟件攻擊事件已經(jīng)成為頭條新聞，并帶來相關(guān)的災難性后果，例如業(yè)務關(guān)閉、財務/收入損失、聲譽受損等，許多企業(yè)董事會成員和高管已經(jīng)意識到，網(wǎng)絡(luò)安全不再單是一個IT方面的問題，而且也是業(yè)務方面的問題。

此外，根據(jù)RSA的業(yè)務創(chuàng)新安全委員會日前發(fā)布的一份白皮書，網(wǎng)絡(luò)安全已經(jīng)發(fā)展到風險和相關(guān)成本如今屬于企業(yè)董事會的受托責任范圍。

甚至有的用戶提起訴訟，要求企業(yè)董事成員和高管承擔個人責任，聲稱如果發(fā)生網(wǎng)絡(luò)安全事件應該承擔責任。因此，該群體可能成為最大限度降低企業(yè)網(wǎng)絡(luò)風險的重要力量。

盡管如此，研究發(fā)現(xiàn)許多首席信息安全官出于各種原因難以向董事成員和高管解釋保護企業(yè)系統(tǒng)、數(shù)據(jù)和資產(chǎn)所需的資源、承諾和預算。這方面的一個例子涉及將網(wǎng)絡(luò)安全風險轉(zhuǎn)化為業(yè)務風險的需要，這是企業(yè)董事會成員所關(guān)注的問題。這些風險及其對業(yè)務的可怕影響并不總是在所有行業(yè)中都顯而易見，因此應該清楚而簡潔地傳達給企業(yè)董事會成員和高管。

企業(yè)董事會成員和高管需要知道什么？

在通常情況下，企業(yè)董事會成員和高管在網(wǎng)絡(luò)安全方面擁有不同程度的知識。有些人精通技術(shù)并密切關(guān)注網(wǎng)絡(luò)安全趨勢，而另一些人則對企業(yè)網(wǎng)絡(luò)安全中包含的大量主題有模糊的理解。

無論董事會成員可能知道些什么，他們通常都希望聽取首席信息安全官的報告，說明企業(yè)目前識別其最關(guān)鍵資產(chǎn)的能力、保護這些資產(chǎn)的防御計劃，以及企業(yè)在多大程度上執(zhí)行該計劃以管理風險和漏洞。

首席信息安全官的報告應讓企業(yè)領(lǐng)導層了解安全團隊看到的威脅和漏洞，以及為減輕這些威脅而采取的主動行動。必須清楚地了解這些威脅和漏洞如何影響業(yè)務功能。該報告還應該討論應對這些威脅的長期戰(zhàn)略、目標、投資和相關(guān)的投資回報率，以及實現(xiàn)目標的明確進展的更新。

以下是首席信息安全官需要為企業(yè)董事會成員和高管回答的一些基本問題：

• 面臨的風險是什么?
• 網(wǎng)絡(luò)安全團隊對此做了什么?
• 團隊是否具備做出正確決策，并迅速采取行動所需的條件?
• 企業(yè)資產(chǎn)、數(shù)據(jù)和系統(tǒng)是否安全?
• 怎么知道企業(yè)是否被網(wǎng)絡(luò)攻擊了?
• 企業(yè)的安全計劃與業(yè)內(nèi)其他公司相比如何?
• 是否有足夠的資源用于安全計劃?
• 計劃有多有效，投資是否正確?

成功地敘述故事

無論董事會成員的知識水平如何，通常建議首席信息安全官通過簡短地敘述故事讓每個人快速了解企業(yè)的網(wǎng)絡(luò)安全狀態(tài)、態(tài)勢和防御計劃的背景。這其中包括概述當前的威脅形勢，這意味著可能面臨的風險和網(wǎng)絡(luò)攻擊者。其故事還應該提到當前應對網(wǎng)絡(luò)攻擊者的對策以及如何使用企業(yè)的安全系統(tǒng)進行抵御。

如果首席信息安全官有具體的例子說明網(wǎng)絡(luò)攻擊者如何攻擊他們的公司以及采取了哪些措施，那么就更好了。盡管如此，如果這些網(wǎng)絡(luò)攻擊發(fā)生在幾年前，他們應該列舉值得關(guān)注的網(wǎng)絡(luò)攻擊事件，例如Apache Log4j、SolarWinds、JBS、Capital One、Facebook、Equifax、OPM、雅虎、摩根大通等知名廠商遭遇的網(wǎng)絡(luò)攻擊。最好使用與所在行業(yè)相關(guān)的示例，而不是引用與企業(yè)沒有相似之處的隨機事件。這些網(wǎng)絡(luò)攻擊和實際破壞有助于為影響企業(yè)業(yè)務運營的內(nèi)容創(chuàng)建場景。

在此不建議審查特定的新工具或技術(shù)，因為它不會為非安全從業(yè)者提供價值。但是，如果由于首席執(zhí)行官或董事會在上次會議上批準的工具或設(shè)備而阻止或減輕了網(wǎng)絡(luò)安全事件，那么需要提到這一舉措。這應該嵌入到故事中，但采用安全工具或技術(shù)不應該成為故事本身。這使首席信息官能夠讓首席執(zhí)行官和董事會成員感到滿意，同時實現(xiàn)本次會議的預期成果。

如果必須提及技術(shù)項目，那么必須轉(zhuǎn)化為董事會成員/首席執(zhí)行官可以關(guān)聯(lián)和能夠理解的風險，這需要場景和含義。它將被簡單地描述為任何其他業(yè)務風險，例如，“這種風險可能會發(fā)生，這就是它發(fā)生時帶來的不利影響?！?/p>

通過將技術(shù)項目呈現(xiàn)為業(yè)務問題，更容易獲得必要的資金和人員等資源，以快速消除風險。

通過選擇正確的衡量標準來建立信任

建議使用一些定性和定量的策略和指標來建立信任，而不是可能在15分鐘展示時呈現(xiàn)難以解釋的技術(shù)或運營指標。以下是可供選擇的選項的簡短列表(通常建議共享3～4個相關(guān)指標)。

• 進行風險評估和發(fā)現(xiàn)風險。
• 計劃的桌面練習和模擬，需要董事會成員和高管的參與。
• 目前正在處理的首要安全重點，今年上半年和下半年的計劃是什么。
• 員工培訓計劃和測試。
• 紅隊-藍隊模擬和報告的結(jié)果。
• 降低風險和提升企業(yè)安全狀況的其他舉措。
• 與應用程序開發(fā)的安全集成(如果適用的話)。
• 企業(yè)根據(jù)風險承受能力和風險偏好接受的風險。
• 發(fā)現(xiàn)的新漏洞與已修復的漏洞。
• 補丁管理——日期、計劃、頻率。
• 事件和漏洞的數(shù)量。
• 未補救風險的數(shù)量以及未補救的原因(顯示正在處理的優(yōu)先事項)。

對民族國家規(guī)模的網(wǎng)絡(luò)攻擊進行討論

近年來，美國國家安全局(NSA)開發(fā)的一些網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)、技術(shù)和程序有了長足的發(fā)展，而網(wǎng)絡(luò)攻擊者在暗網(wǎng)上購買此類技術(shù)變得非常容易和快速。在過去，只有民族國家才能獲得這些技術(shù)和工具。然而如今，各種網(wǎng)絡(luò)犯罪團伙都可以使用這樣的攻擊工具，而且他們每天都在大量使用這些工具，其中大多數(shù)是為了獲取經(jīng)濟利益，這給企業(yè)帶來了新的風險。

這些網(wǎng)絡(luò)攻擊團體之間的合作有所增加，因此知識和工具共享使許多企業(yè)更有可能遭受民族國家規(guī)模的網(wǎng)絡(luò)攻擊。

人們已經(jīng)看到，這些網(wǎng)絡(luò)犯罪團體往往受到其所在國家的保護，這意味著為這些網(wǎng)絡(luò)攻擊提供了幫助和條件。因此，企業(yè)通常需要額外的專業(yè)知識來處理這種威脅級別。首席信息安全官應提出他們的想法，以應對超出監(jiān)管要求的這些風險，并使企業(yè)的安全計劃成熟到超出當前水平。

解釋投資回報率和網(wǎng)絡(luò)安全投資

由于網(wǎng)絡(luò)安全帶來了新的和持續(xù)的挑戰(zhàn)，投入再多資金也不可能消除風險，向董事會成員解釋這一點很重要。因此，在討論網(wǎng)絡(luò)安全投資時，應該使用一些通用的基準，但投資決策將根據(jù)整體安全計劃的成熟度、行業(yè)和其他因素而有所不同。

投資回報率的主題對于網(wǎng)絡(luò)安全來說可能有些復雜，因為品牌聲譽價值、數(shù)據(jù)/個人信息安全的妥協(xié)以及潛在的法律成本等重要的因素更難量化。然而，毫無疑問，可以估算“假設(shè)”成本：

• 事件緩解可以防止損失。
• 每月預防的高級持續(xù)性威脅數(shù)量。
• 符合安全標準的系統(tǒng)百分比。

此外，大多數(shù)董事會成員和高管希望了解投資的效果，尤其是哪些投資對首席信息安全官最有意義、他們的意見等。建議首席信息安全官利用這個機會展示他們的商業(yè)敏銳性，并為這些決策增加價值。

結(jié)語

首席信息安全官是企業(yè)加強網(wǎng)絡(luò)安全的主要講述者和倡導者。他們負責制定企業(yè)的網(wǎng)絡(luò)安全計劃的愿景、價值觀和計劃。作為數(shù)據(jù)和網(wǎng)絡(luò)安全專家，他們對董事會成員和高管有重要的話要說。但如果他們沒有進行適當?shù)陌b，他們的數(shù)據(jù)和專業(yè)知識可能不會提供太大幫助。要使信息和預期結(jié)果得到傳播，需要將網(wǎng)絡(luò)安全問題和風險轉(zhuǎn)化為業(yè)務問題和風險。

以上建議基于作為大型企業(yè)首席信息安全官顧問的經(jīng)驗，旨在為其他首席信息安全官提供實用的建議，幫助他們向其董事會成員和高管提交分析報告，以實現(xiàn)預期結(jié)果。