安全专家如何建立信任
与董事会建立信任
对于许多首席信息安全官 (CISO) 而言,虽然向董事会报告是他们的必要工作,但他们在执行这项任务上却表现得 十分被动。毕竟,掌管公司治理模式的是董事会,因此安全专业人士有责任让他们了解情况。然而,CISO 绝对不 应该仅在以下情况下向董事会作汇报:就安全事件(例如 Log4j 漏洞)进行沟通、根据监管要求提出请求,或回答发生在同一行业中的漏洞问题。
相反,安全专业人士应该与其董事会保持定期联系,让他们了解情况、为其提供安全培训,并与之建立相互信任。最终,与董事会建立合作关系有助于实现更理想的安全态势,这种安全态势是我们所有人都需要的。
董事会作为第四道防线的作用
虽然我们通常认为,董事会只需听取安全主管向他们汇报工作,但董事会作为管理小组实际上可以为我们提供更多支持。
我们可以也应该将董事会视为企业安全的第四道防线。第一道防线是由负责对事件进行分类的实践操作人员掌管的日常安全运营,以及所具备的安全防御能力。第二道防线是我们所说的网络管制功能,而第三道防线是内部审核与报告功能。因此,第四道防线实际上是董事会。所有四道防线都需要进行有效沟通,以便消除安全缺口,打造有凝聚力的网络安全运营,这一点至关重要。
如何积极主动地与董事会建立信任
让董事会成为安全合作伙伴和有效的第四道防线需要双方相互信任。对于安全专业人士而言,这需要从三个主要方面了解董事会最重视什么:
品牌保护。.确保企业品牌受到知识产权、商业机密和声誉方面的保护。
盈利能力。. 务必采取正确的安全控制措施,确保公司能够盈利。
风险管理。知道向董事会报告哪些问题,才能真正引起公司对网络安全威胁影响的共鸣。
提供安全投资回报 (ROSI) 展望
与董事会沟通时,务必确保所有人都使用同一种语言交流。众所周知,董事会成员通常不是网络安全专家。因此,CISO 经常纠结应该使用哪种程度的技术语言,有时甚至会刻意回避分享某些技术信息,因为他们真的不知道如何与这些非技术人员交流技术类问题。
我也经常会遇到一种情况,即 CISO 确实强调了技术要素,但却未能以董事会可理解的商业角度成功传达风险。与董事会沟通的最佳方式是,让身为听众的他们参与进来,并有效传达这些风险,而不是用难以理解的内容吓退他们。
在 Unit 42 中,我们使用一个名为 ROSI 的术语来帮助传达安全投资回报。对于 CISO 而言,有一点是非常重要的,即从财务方面阐明,为什么某些在 ROSI 中至关重要的安全投资将从回报的角度确定保护哪些资产以及如何保护这些资产。ROSI 还应该向企业说明客观安全成熟度的净收益,而非主观成熟度的净收益。
用于向董事会传达风险的 Unit 42 框架
CISO 对董事会的主要职责之一,是以一种积极主动且有意义的方式向其传达风险。 Palo Alto Networks Unit 42 开发了一个框架,用于向董事会传达风险,该框架包含以下关键步骤和项目:
清单收集。我们无法为不了解的内容提供保护,因此,请务必创建适当的 IT 资产清单。
识别关键资产。.发现和识别最重要的资产,无论是个人数据、应用还是特定的基础架构。了解在企业中处于核心地位的关键资产至关重要。
安全工具评估。企业需要了解使用其所拥有的安全工具保护这些关键资产的效果如何。
事件响应能力评估。如果事件影响到企业的关键资产,那么就要做好准备,以有效且高效的方式进行响应。
测试和验证。了解工具和事件响应能力。关键是要测试和验证,如果威胁行动者对关键资产发动了切实攻击,相关功能的表现情况如何。
董事会恢复能力简介。该框架的最后一步是向董事会传达企业面对潜在风险的恢复能力。该框架旨在为董事会提供客观的可行性分析结果,并通过真正与业务相关的方式与之进行沟通。
报告指标:要勇于争当引领者,不要甘于落后
我们经常看到企业主要报告安全运营中心 (SOC) 的运营指标,例如攻击、警报、已关闭事件的数量或有多少未打补丁的操作系统,以显示进度。但实际上,这还不足以转化网络风险。明确来讲,我们应该将这些 SOC 指标视为滞后指标,正是它们导致我们需要采取被动补救措施。
我们建议 CISO 提出可促进企业采取主动安全举措 主动安全举措 的主要指标。主动主要指标的一个优质示例指标是,在过去 12 个月评估的第三方或供应链风险管理资源的数量。该指标不仅会显示有多少高风险供应链资源,还会显示公司在验证这些第三方的尽职调查方面的进度。
针对成功开展 CISO/董事会沟通的建议
与任何董事会建立成功的工作关系都需要一个过程,但最关键的是要建立这种关系。您需要了解您的董事会,知道从业务风险角度来说,哪些方面可以让他们产生共鸣。如果想要向董事会传达您如何在业务资产和业务需求方面保障他们的最佳利益,唯一的方式是了解他们重视的焦点问题。
同时,采取数据驱动的方法,向董事会传达相关内容。尽量避免主观会使您处于有利位置,因为您只是在陈述事实。也就是说,只是简单地在幻灯片上抛出数字是行不通的。讲故事是一种行之有效的方法。董事会成员希望了解故事的梗概、情节、高潮和解决方案。所以不要只陈列数据,而应真实展现数据背后的故事。
从根本上说,大家需要记住一点:董事会是解决方案的一部分。他们是第四道防线。因此,务必要帮助企业实现和营造一种授权文化,让整个企业的领导者都明白安全是每个人的责任。