3min. read

对于许多首席信息安全官 (CISO) 而言,虽然向董事会报告是他们的必要工作,但他们在执行这项任务上却表现得 十分被动。毕竟,掌管公司治理模式的是董事会,因此安全专业人士有责任让他们了解情况。然而,CISO 绝对不 应该仅在以下情况下向董事会作汇报:就安全事件(例如 Log4j 漏洞)进行沟通、根据监管要求提出请求,或回答发生在同一行业中的漏洞问题。

相反,安全专业人士应该与其董事会保持定期联系,让他们了解情况、为其提供安全培训,并与之建立相互信任。最终,与董事会建立合作关系有助于实现更理想的安全态势,这种安全态势是我们所有人都需要的。

董事会作为第四道防线的作用

虽然我们通常认为,董事会只需听取安全主管向他们汇报工作,但董事会作为管理小组实际上可以为我们提供更多支持。

我们可以也应该将董事会视为企业安全的第四道防线。第一道防线是由负责对事件进行分类的实践操作人员掌管的日常安全运营,以及所具备的安全防御能力。第二道防线是我们所说的网络管制功能,而第三道防线是内部审核与报告功能。因此,第四道防线实际上是董事会。所有四道防线都需要进行有效沟通,以便消除安全缺口,打造有凝聚力的网络安全运营,这一点至关重要。

如何积极主动地与董事会建立信任

让董事会成为安全合作伙伴和有效的第四道防线需要双方相互信任。对于安全专业人士而言,这需要从三个主要方面了解董事会最重视什么:

牌保护。.确保企业品牌受到知识产权、商业机密和声誉方面的保护。

盈利能力。. 务必采取正确的安全控制措施,确保公司能够盈利。

风险管理。知道向董事会报告哪些问题,才能真正引起公司对网络安全威胁影响的共鸣。

提供安全投资回报 (ROSI) 展望

与董事会沟通时,务必确保所有人都使用同一种语言交流。众所周知,董事会成员通常不是网络安全专家。因此,CISO 经常纠结应该使用哪种程度的技术语言,有时甚至会刻意回避分享某些技术信息,因为他们真的不知道如何与这些非技术人员交流技术类问题。

我也经常会遇到一种情况,即 CISO 确实强调了技术要素,但却未能以董事会可理解的商业角度成功传达风险。与董事会沟通的最佳方式是,让身为听众的他们参与进来,并有效传达这些风险,而不是用难以理解的内容吓退他们。

在 Unit 42 中,我们使用一个名为 ROSI 的术语来帮助传达安全投资回报。对于 CISO 而言,有一点是非常重要的,即从财务方面阐明,为什么某些在 ROSI 中至关重要的安全投资将从回报的角度确定保护哪些资产以及如何保护这些资产。ROSI 还应该向企业说明客观安全成熟度的净收益,而非主观成熟度的净收益。