极速飞艇平台下载
機房360首頁
當前位置:首頁 ? 安全資訊 ? 向董事會匯報網絡安全工作的12條建議

向董事會匯報網絡安全工作的12條建議

來源:51CTO 作者: 更新時間:2019/4/9 16:18:29

摘要:網絡安全是董事會最關心的問題之一。實際上,在全美企業董事協會(National Association of Corporate Directors)調查的近500名企業領導中,有42%的人將網絡安全風險列為他們面臨的五大最緊迫問題之一,僅次于監管環境的變化和經濟發展減速。

  網絡安全是董事會最關心的問題之一。實際上,在全美企業董事協會(National Association of Corporate Directors)調查的近500名企業領導中,有42%的人將網絡安全風險列為他們面臨的五大最緊迫問題之一,僅次于監管環境的變化和經濟發展減速。

  因此,安全管理人員頻繁向董事會匯報他們面臨的風險以及減輕風險的策略。然而,很多董事會成員發現,他們沒有從首席信息安全官那里獲得所需的信息。

  管理咨詢公司麥肯錫(McKinsey & Co.)高級合伙人David Chinn表示:

  董事會成員正在討論網絡風險,而風險和審計委員會正花費大量時間盤問首席信息安全官,他們普遍對這種情況感到不滿。

  首席信息安全官在向董事會傳達網絡安全風險時,應該遵循一些最優做法并避免常見錯誤。

  1. 充分做好準備工作

  高官們應該在進行匯報前幾周,將準備好的書面報告上交給董事會成員。一些人認為提前做好準備工作就足夠了,但有經驗的高管和領導顧問表示,首席信息安全官們(特別是是那些在董事會開始之前時間有限的人)需要更專注于準備工作,甚至去接受特定的培訓。

  Hayslip在向新董事會進行第一次匯報之前,請求他的首席財務官幫自己聯系一位愿意幫助他準備這次匯報的高管。他表示:如果我要向董事會做報告,而我從來沒有和他們交談過,我可不想走進冰冷的董事會。我不知道他們會問什么樣的問題,我不知道他們想要了解什么。所以我和同事進行了溝通,詢問其他已經在董事會面前進行匯報并得到反饋的其他高官們——都有誰在那里,他們是什么樣人,他們會問什么樣的問題——然后我就能知道我將要向誰進行報告,他們希望怎樣的數據呈現方式了。

  2. 提供一份評估報告

  Hayslip表示準備工作以及他后來向董事會進行報告的經歷,讓他明白了一些董事們想知道的內容,即對公司網絡安全狀況的一份評估以及需要如何進行改進。

  告訴他們你處在什么位置,你需要達到什么位置。每次走進會議室,你都要分享有關新風險和新的改善機會的信息,建立在之前(報告)所提供信息的基礎上。告訴他們,這是我們現在所處的位置,這是我們不成熟的地方,也是存在風險的地方,從威脅的角度來看,這是我們應該優先考慮的事情,也是為什么……我們與對手在競爭的地方。

  3. 保持透明性

  專家表示,評估報告不應該模糊企業面臨的風險,因此首席信息安全官應該提前,并以直接,易懂的方式提供相關信息。

  Chinn表示:很多組織機構都有一個威脅情報部門,他們會為董事會收集這些信息,讓董事會成員覺得他們已經了解相關信息了。董事會成員想知道企業風險、這種風險帶來的商業影響、他們的投資在多大程度已經轉化為控制,以及這些投資是否有效降低了風險。

  他舉了一個很好的例子,來說明如何提供這樣的信息:在一個組織機構中,首席信息安全官開發了一個自助應用程序,董事會成員可以根據需要使用該應用程序訪問相關信息。

  4. 準備應對(棘手的)問題

  會議室可不是讓人驚喜的地方。因此,IT治理協會ISACA的董事會主席Rob Clyde建議,首席信息安全官們應該預測董事會成員可能提出的問題——尤其是那些最難回答的問題,比如 “我們的安全性有多好?” 和 “我們安全嗎?”。

  Clyde表示,首席信息安全官們通常很難恰如其分地回答這種類型的問題,因此在匆忙回答間往往會給出不充分或令人困惑的答案。

  他建議首席信息安全官們提前考慮,并制定應對措施。他還建議首席信息安全官使用網絡安全成熟度模型,比如ISACA的CMMI研究所提供的模型,對這些棘手的問題給出清晰、有意義的回答。

  同時,他表示首席信息安全官不應該讓董事會、其他高管和首席執行長對此類問題的回答感到意外。Clyse表示,首席信息安全官應該與他們的首席執行官分享他們對這些問題的回答;事實上,首席信息安全官應該確保首席執行官了解他們將要報告的任何內容,這樣他們就不會將首席執行官置于任何尷尬的境地。

  5. 誠實面對劣勢

  與此相關的是,經驗豐富的高管們表示,在回答有關組織風險和網絡安全形勢的問題時,首席信息安全官應該實事求是,即使他們擔心自己的回答可能會讓自己看起來效率低下。Clyde表示:有些董事會問,“我們是100%安全的嗎?”,你絕不應該給出肯定的答案,或者提供毫無根據的保證,給出模糊的答案。

  6. 但也不要嚇到董事會

  首席信息安全官看到網絡安全攻擊的規模不斷增加,且日益復雜,因此他們在向董事會解釋應對這些威脅所需的資源時,與董事會共享這些信息也就不足為奇了。

  你有一些首席信息安全官進入會議室,就會列出的所有正在發生的糟糕的事情,搞的好像天要塌下來一樣,但這種恐懼、不確定和懷疑的氣氛對董事會不起作用,首席信息安全官可能僥幸脫身,但如果再這樣做,他只會惹怒董事會。

  他表示,董事會當然需要數據,但他們需要能夠讓他們做出明智的決定的信息,以決定把安全投資放在什么地方,最大限度地降低風險。

  7. 獲得一位支持者

  James Carder,安全解決方案公司LogRhythm的首席信息安全官,同一名擁有技術背景的董事會成員建立了聯系,并找他作為導師,幫助他準備董事會會議、審查提交給董事會的材料,并代表他支持安全策略。

  他建議其他首席信息安全官也這么做。

  在董事會里尋找一位支持者。他們會在你將材料提交給董事會之前給你反饋,(建議)哪些話是重要的、哪些話會引起其他成員的共鳴。而且,當你不在董事會的時候,這位支持者可以與董事會就安全問題進行對話,推動你想要的改變。

  8. 開門見山

  首席信息安全官們已經習慣了在會議上做報告,他們通常在談及主旨前,會進行一些鋪墊,但這種方法不適用于那些珍惜時間的董事會成員。

  Clyde表示,不要保留重點,要從一開始就說到點子上。董事會想提前知道你為什么在那里。如果董事會需要采取行動——例如,他們需要考慮購買網絡安全保險,或者制定一項政策,決定在發生勒索病毒攻擊時,是否支付贖金——那么首先要和董事會提前確認這些。

  他表示,首席信息安全官可以在時間允許的情況下提供輔助信息,意識到董事會成員可以在會議前提交的書面材料中找到任何必要的信息。

  9. 省略技術環節

  Carder談到,他曾經把自己的安全工作過多地傳達給董事會。當董事會成員不得不多次打斷他的陳述,詢問他使用的術語和他所描述的概念的時候,他知道自己犯了一個錯誤。

  我以為他們知道某些安全技術術語,然后我意識到,我過度描述了所有這些細節,而不是簡明扼要地講述風險。

  Carder現在更有意識的從他的匯報中省略復雜的技術內容;沒有關于最新的漏洞或最新的數據丟失防御技術的詳細信息,也沒有SIEM供應商選項或入侵監測產品的信息。相反,他將對話重點放在圍繞安全性的提煉觀點上,并以簡單的業務術語展示相關信息。

  10. 展示業務價值

  很多首席信息安全官在計算安全投資的業務的投資回報率(ROI)時遇到了困難,但是董事會想知道的是他們的安全風險和投資對業務的影響。

  這就是Hayslip的目標。他表示:自己展示了項目如何影響賺錢的團隊,這就表明項目正在幫助公司做該做的事情。

  他曾在一家公司工作,該公司每月大約有50臺電腦因為惡意軟件而下線,所以他投資了一些技術來降低每月的平均下線率。當他走到董事會之前,Hayslip并沒有關注新技術的成本,而是關注降低修復成本和減少宕機時間為組織機構帶來的投資價值。

  這就是你必須談論有關價值的內容,以及你正在降低風險的事實。

  11. 確定衡量成功的標準

  Chinn表示,首席信息安全官們應該反思他們是否充分地向董事會傳達了信息。因為是否充分和董事會溝通了安全策略對業務的影響,關乎著他們的安全策略將獲得多少支持和資金。

  Chinn認識一位首席信息安全官,當公司數據泄露成為新聞時,他會通過董事會成員的反應來判斷自己在這一方面做的是否成功。

  他表示當發生信息泄露事件后,董事會成員提出明智的問題或根本不提問題時,他就知道自己在向董事會報告方面工作做的很好。因為這表明他們信任身為首席信息安全官的他。

  12. 把握好機會

  Clyde表示,首席信息安全官們應該向全體董事會報告,并指出很多首席信息安全官不是向全體董事會報告,而是向審計和風險委員會報告。如果會議還沒有進入董事會的議程,他們應該主動采取行動。

  此外,首席信息安全官應該將他們在董事會面前的時間當做一個機會,宣傳強大的網絡安全項目的重要性,并強調其所在組織機構網絡安全功能的優勢、差距和戰略。Clyde表示,ISACA建議首席信息安全官至少每年應該和董事會召開一次會議。

  這是為了建立信任。董事會能看到你在做事情,他們不僅知道你了解自己的工作,還知道你了解這個行業,你正在調整你的安全計劃來支持這一點。

  責任編輯:DJ編輯

機房360微信公眾號訂閱
掃一掃,訂閱更多數據中心資訊

本文地址:http://www.mqcrp.icu/news/201949/n3868117419.html 網友評論: 閱讀次數:
版權聲明:凡本站原創文章,未經授權,禁止轉載,否則追究法律責任。
相關評論
正在加載評論列表...
評論表單加載中...
  • 我要分享
推薦圖片
极速飞艇平台下载 四川时时在线 乐彩app 排五排开奖结果走势图 百变王牌前三 新时时任选一玩法 赛车赌博软件机器人 四川时时平台下载手机版 广东36选7福利彩开奖给果 内河5分彩 pk10单双走势图