?網絡安全如今已經成為企業(yè)董事會成員越來越關注的一個主要話題。在研究機構去年進行的一項全球調查中，將網絡攻擊和數據丟失列為與新冠疫情相關的變化(例如在家遠程工作、混合工作和云遷移)導致企業(yè)董事會成員和高管關注的兩大風險。該調查涵蓋了美國、英國、歐洲和亞太地區(qū)的各個行業(yè)領域。

隨著許多數據泄露和勒索軟件攻擊事件已經成為頭條新聞，并帶來相關的災難性后果，例如業(yè)務關閉、財務/收入損失、聲譽受損等，許多企業(yè)董事會成員和高管已經意識到，網絡安全不再單是一個IT方面的問題，而且也是業(yè)務方面的問題。

此外，根據RSA的業(yè)務創(chuàng)新安全委員會日前發(fā)布的一份白皮書，網絡安全已經發(fā)展到風險和相關成本如今屬于企業(yè)董事會的受托責任范圍。

甚至有的用戶提起訴訟，要求企業(yè)董事成員和高管承擔個人責任，聲稱如果發(fā)生網絡安全事件應該承擔責任。因此，該群體可能成為最大限度降低企業(yè)網絡風險的重要力量。

盡管如此，研究發(fā)現許多首席信息安全官出于各種原因難以向董事成員和高管解釋保護企業(yè)系統、數據和資產所需的資源、承諾和預算。這方面的一個例子涉及將網絡安全風險轉化為業(yè)務風險的需要，這是企業(yè)董事會成員所關注的問題。這些風險及其對業(yè)務的可怕影響并不總是在所有行業(yè)中都顯而易見，因此應該清楚而簡潔地傳達給企業(yè)董事會成員和高管。

企業(yè)董事會成員和高管需要知道什么？

在通常情況下，企業(yè)董事會成員和高管在網絡安全方面擁有不同程度的知識。有些人精通技術并密切關注網絡安全趨勢，而另一些人則對企業(yè)網絡安全中包含的大量主題有模糊的理解。

無論董事會成員可能知道些什么，他們通常都希望聽取首席信息安全官的報告，說明企業(yè)目前識別其最關鍵資產的能力、保護這些資產的防御計劃，以及企業(yè)在多大程度上執(zhí)行該計劃以管理風險和漏洞。

首席信息安全官的報告應讓企業(yè)領導層了解安全團隊看到的威脅和漏洞，以及為減輕這些威脅而采取的主動行動。必須清楚地了解這些威脅和漏洞如何影響業(yè)務功能。該報告還應該討論應對這些威脅的長期戰(zhàn)略、目標、投資和相關的投資回報率，以及實現目標的明確進展的更新。

以下是首席信息安全官需要為企業(yè)董事會成員和高管回答的一些基本問題：

• 面臨的風險是什么?
• 網絡安全團隊對此做了什么?
• 團隊是否具備做出正確決策，并迅速采取行動所需的條件?
• 企業(yè)資產、數據和系統是否安全?
• 怎么知道企業(yè)是否被網絡攻擊了?
• 企業(yè)的安全計劃與業(yè)內其他公司相比如何?
• 是否有足夠的資源用于安全計劃?
• 計劃有多有效，投資是否正確?

成功地敘述故事

無論董事會成員的知識水平如何，通常建議首席信息安全官通過簡短地敘述故事讓每個人快速了解企業(yè)的網絡安全狀態(tài)、態(tài)勢和防御計劃的背景。這其中包括概述當前的威脅形勢，這意味著可能面臨的風險和網絡攻擊者。其故事還應該提到當前應對網絡攻擊者的對策以及如何使用企業(yè)的安全系統進行抵御。

如果首席信息安全官有具體的例子說明網絡攻擊者如何攻擊他們的公司以及采取了哪些措施，那么就更好了。盡管如此，如果這些網絡攻擊發(fā)生在幾年前，他們應該列舉值得關注的網絡攻擊事件，例如Apache Log4j、SolarWinds、JBS、Capital One、Facebook、Equifax、OPM、雅虎、摩根大通等知名廠商遭遇的網絡攻擊。最好使用與所在行業(yè)相關的示例，而不是引用與企業(yè)沒有相似之處的隨機事件。這些網絡攻擊和實際破壞有助于為影響企業(yè)業(yè)務運營的內容創(chuàng)建場景。

在此不建議審查特定的新工具或技術，因為它不會為非安全從業(yè)者提供價值。但是，如果由于首席執(zhí)行官或董事會在上次會議上批準的工具或設備而阻止或減輕了網絡安全事件，那么需要提到這一舉措。這應該嵌入到故事中，但采用安全工具或技術不應該成為故事本身。這使首席信息官能夠讓首席執(zhí)行官和董事會成員感到滿意，同時實現本次會議的預期成果。

如果必須提及技術項目，那么必須轉化為董事會成員/首席執(zhí)行官可以關聯和能夠理解的風險，這需要場景和含義。它將被簡單地描述為任何其他業(yè)務風險，例如，“這種風險可能會發(fā)生，這就是它發(fā)生時帶來的不利影響?！?/p>

通過將技術項目呈現為業(yè)務問題，更容易獲得必要的資金和人員等資源，以快速消除風險。

通過選擇正確的衡量標準來建立信任

建議使用一些定性和定量的策略和指標來建立信任，而不是可能在15分鐘展示時呈現難以解釋的技術或運營指標。以下是可供選擇的選項的簡短列表(通常建議共享3～4個相關指標)。

• 進行風險評估和發(fā)現風險。
• 計劃的桌面練習和模擬，需要董事會成員和高管的參與。
• 目前正在處理的首要安全重點，今年上半年和下半年的計劃是什么。
• 員工培訓計劃和測試。
• 紅隊-藍隊模擬和報告的結果。
• 降低風險和提升企業(yè)安全狀況的其他舉措。
• 與應用程序開發(fā)的安全集成(如果適用的話)。
• 企業(yè)根據風險承受能力和風險偏好接受的風險。
• 發(fā)現的新漏洞與已修復的漏洞。
• 補丁管理——日期、計劃、頻率。
• 事件和漏洞的數量。
• 未補救風險的數量以及未補救的原因(顯示正在處理的優(yōu)先事項)。

對民族國家規(guī)模的網絡攻擊進行討論

近年來，美國國家安全局(NSA)開發(fā)的一些網絡攻擊戰(zhàn)術、技術和程序有了長足的發(fā)展，而網絡攻擊者在暗網上購買此類技術變得非常容易和快速。在過去，只有民族國家才能獲得這些技術和工具。然而如今，各種網絡犯罪團伙都可以使用這樣的攻擊工具，而且他們每天都在大量使用這些工具，其中大多數是為了獲取經濟利益，這給企業(yè)帶來了新的風險。

這些網絡攻擊團體之間的合作有所增加，因此知識和工具共享使許多企業(yè)更有可能遭受民族國家規(guī)模的網絡攻擊。

人們已經看到，這些網絡犯罪團體往往受到其所在國家的保護，這意味著為這些網絡攻擊提供了幫助和條件。因此，企業(yè)通常需要額外的專業(yè)知識來處理這種威脅級別。首席信息安全官應提出他們的想法，以應對超出監(jiān)管要求的這些風險，并使企業(yè)的安全計劃成熟到超出當前水平。

解釋投資回報率和網絡安全投資

由于網絡安全帶來了新的和持續(xù)的挑戰(zhàn)，投入再多資金也不可能消除風險，向董事會成員解釋這一點很重要。因此，在討論網絡安全投資時，應該使用一些通用的基準，但投資決策將根據整體安全計劃的成熟度、行業(yè)和其他因素而有所不同。

投資回報率的主題對于網絡安全來說可能有些復雜，因為品牌聲譽價值、數據/個人信息安全的妥協以及潛在的法律成本等重要的因素更難量化。然而，毫無疑問，可以估算“假設”成本：

• 事件緩解可以防止損失。
• 每月預防的高級持續(xù)性威脅數量。
• 符合安全標準的系統百分比。

此外，大多數董事會成員和高管希望了解投資的效果，尤其是哪些投資對首席信息安全官最有意義、他們的意見等。建議首席信息安全官利用這個機會展示他們的商業(yè)敏銳性，并為這些決策增加價值。

結語

首席信息安全官是企業(yè)加強網絡安全的主要講述者和倡導者。他們負責制定企業(yè)的網絡安全計劃的愿景、價值觀和計劃。作為數據和網絡安全專家，他們對董事會成員和高管有重要的話要說。但如果他們沒有進行適當的包裝，他們的數據和專業(yè)知識可能不會提供太大幫助。要使信息和預期結果得到傳播，需要將網絡安全問題和風險轉化為業(yè)務問題和風險。

以上建議基于作為大型企業(yè)首席信息安全官顧問的經驗，旨在為其他首席信息安全官提供實用的建議，幫助他們向其董事會成員和高管提交分析報告，以實現預期結果。