網(wǎng)絡(luò)安全是董事會最關(guān)心的問題之一。實(shí)際上，在全美企業(yè)董事協(xié)會(National Association of Corporate Directors)調(diào)查的近500名企業(yè)領(lǐng)導(dǎo)中，有42%的人將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)列為他們面臨的五大最緊迫問題之一，僅次于監(jiān)管環(huán)境的變化和經(jīng)濟(jì)發(fā)展減速。

[[261857]]

因此，安全管理人員頻繁向董事會匯報(bào)他們面臨的風(fēng)險(xiǎn)以及減輕風(fēng)險(xiǎn)的策略。然而，很多董事會成員發(fā)現(xiàn)，他們沒有從首席信息安全官那里獲得所需的信息。

管理咨詢公司麥肯錫(McKinsey & Co.)高級合伙人David Chinn表示：

首席信息安全官在向董事會傳達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時，應(yīng)該遵循一些最優(yōu)做法并避免常見錯誤。

1. 充分做好準(zhǔn)備工作

高官們應(yīng)該在進(jìn)行匯報(bào)前幾周，將準(zhǔn)備好的書面報(bào)告上交給董事會成員。一些人認(rèn)為提前做好準(zhǔn)備工作就足夠了，但有經(jīng)驗(yàn)的高管和領(lǐng)導(dǎo)顧問表示，首席信息安全官們(特別是是那些在董事會開始之前時間有限的人)需要更專注于準(zhǔn)備工作，甚至去接受特定的培訓(xùn)。

Hayslip在向新董事會進(jìn)行第一次匯報(bào)之前，請求他的首席財(cái)務(wù)官幫自己聯(lián)系一位愿意幫助他準(zhǔn)備這次匯報(bào)的高管。他表示：如果我要向董事會做報(bào)告，而我從來沒有和他們交談過，我可不想走進(jìn)冰冷的董事會。我不知道他們會問什么樣的問題，我不知道他們想要了解什么。所以我和同事進(jìn)行了溝通，詢問其他已經(jīng)在董事會面前進(jìn)行匯報(bào)并得到反饋的其他高官們——都有誰在那里，他們是什么樣人，他們會問什么樣的問題——然后我就能知道我將要向誰進(jìn)行報(bào)告，他們希望怎樣的數(shù)據(jù)呈現(xiàn)方式了。

2. 提供一份評估報(bào)告

Hayslip表示準(zhǔn)備工作以及他后來向董事會進(jìn)行報(bào)告的經(jīng)歷，讓他明白了一些董事們想知道的內(nèi)容，即對公司網(wǎng)絡(luò)安全狀況的一份評估以及需要如何進(jìn)行改進(jìn)。

3. 保持透明性

專家表示，評估報(bào)告不應(yīng)該模糊企業(yè)面臨的風(fēng)險(xiǎn)，因此首席信息安全官應(yīng)該提前，并以直接，易懂的方式提供相關(guān)信息。

Chinn表示：很多組織機(jī)構(gòu)都有一個威脅情報(bào)部門，他們會為董事會收集這些信息，讓董事會成員覺得他們已經(jīng)了解相關(guān)信息了。董事會成員想知道企業(yè)風(fēng)險(xiǎn)、這種風(fēng)險(xiǎn)帶來的商業(yè)影響、他們的投資在多大程度已經(jīng)轉(zhuǎn)化為控制，以及這些投資是否有效降低了風(fēng)險(xiǎn)。

他舉了一個很好的例子，來說明如何提供這樣的信息：在一個組織機(jī)構(gòu)中，首席信息安全官開發(fā)了一個自助應(yīng)用程序，董事會成員可以根據(jù)需要使用該應(yīng)用程序訪問相關(guān)信息。

4. 準(zhǔn)備應(yīng)對(棘手的)問題

會議室可不是讓人驚喜的地方。因此，IT治理協(xié)會ISACA的董事會主席Rob Clyde建議，首席信息安全官們應(yīng)該預(yù)測董事會成員可能提出的問題——尤其是那些最難回答的問題，比如 “我們的安全性有多好?” 和 “我們安全嗎?”。

Clyde表示，首席信息安全官們通常很難恰如其分地回答這種類型的問題，因此在匆忙回答間往往會給出不充分或令人困惑的答案。

他建議首席信息安全官們提前考慮，并制定應(yīng)對措施。他還建議首席信息安全官使用網(wǎng)絡(luò)安全成熟度模型，比如ISACA的CMMI研究所提供的模型，對這些棘手的問題給出清晰、有意義的回答。

同時，他表示首席信息安全官不應(yīng)該讓董事會、其他高管和首席執(zhí)行長對此類問題的回答感到意外。Clyse表示，首席信息安全官應(yīng)該與他們的首席執(zhí)行官分享他們對這些問題的回答;事實(shí)上，首席信息安全官應(yīng)該確保首席執(zhí)行官了解他們將要報(bào)告的任何內(nèi)容，這樣他們就不會將首席執(zhí)行官置于任何尷尬的境地。

5. 誠實(shí)面對劣勢

與此相關(guān)的是，經(jīng)驗(yàn)豐富的高管們表示，在回答有關(guān)組織風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全形勢的問題時，首席信息安全官應(yīng)該實(shí)事求是，即使他們擔(dān)心自己的回答可能會讓自己看起來效率低下。Clyde表示：有些董事會問，“我們是100%安全的嗎?”，你絕不應(yīng)該給出肯定的答案，或者提供毫無根據(jù)的保證，給出模糊的答案。

6. 但也不要嚇到董事會

首席信息安全官看到網(wǎng)絡(luò)安全攻擊的規(guī)模不斷增加，且日益復(fù)雜，因此他們在向董事會解釋應(yīng)對這些威脅所需的資源時，與董事會共享這些信息也就不足為奇了。

他表示，董事會當(dāng)然需要數(shù)據(jù)，但他們需要能夠讓他們做出明智的決定的信息，以決定把安全投資放在什么地方，最大限度地降低風(fēng)險(xiǎn)。

7. 獲得一位支持者

James Carder，安全解決方案公司LogRhythm的首席信息安全官，同一名擁有技術(shù)背景的董事會成員建立了聯(lián)系，并找他作為導(dǎo)師，幫助他準(zhǔn)備董事會會議、審查提交給董事會的材料，并代表他支持安全策略。

他建議其他首席信息安全官也這么做。

8. 開門見山

首席信息安全官們已經(jīng)習(xí)慣了在會議上做報(bào)告，他們通常在談及主旨前，會進(jìn)行一些鋪墊，但這種方法不適用于那些珍惜時間的董事會成員。

Clyde表示，不要保留重點(diǎn)，要從一開始就說到點(diǎn)子上。董事會想提前知道你為什么在那里。如果董事會需要采取行動——例如，他們需要考慮購買網(wǎng)絡(luò)安全保險(xiǎn)，或者制定一項(xiàng)政策，決定在發(fā)生勒索病毒攻擊時，是否支付贖金——那么首先要和董事會提前確認(rèn)這些。

他表示，首席信息安全官可以在時間允許的情況下提供輔助信息，意識到董事會成員可以在會議前提交的書面材料中找到任何必要的信息。

9. 省略技術(shù)環(huán)節(jié)

Carder談到，他曾經(jīng)把自己的安全工作過多地傳達(dá)給董事會。當(dāng)董事會成員不得不多次打斷他的陳述，詢問他使用的術(shù)語和他所描述的概念的時候，他知道自己犯了一個錯誤。

Carder現(xiàn)在更有意識的從他的匯報(bào)中省略復(fù)雜的技術(shù)內(nèi)容;沒有關(guān)于最新的漏洞或最新的數(shù)據(jù)丟失防御技術(shù)的詳細(xì)信息，也沒有SIEM供應(yīng)商選項(xiàng)或入侵監(jiān)測產(chǎn)品的信息。相反，他將對話重點(diǎn)放在圍繞安全性的提煉觀點(diǎn)上，并以簡單的業(yè)務(wù)術(shù)語展示相關(guān)信息。

10. 展示業(yè)務(wù)價(jià)值

很多首席信息安全官在計(jì)算安全投資的業(yè)務(wù)的投資回報(bào)率(ROI)時遇到了困難，但是董事會想知道的是他們的安全風(fēng)險(xiǎn)和投資對業(yè)務(wù)的影響。

這就是Hayslip的目標(biāo)。他表示：自己展示了項(xiàng)目如何影響賺錢的團(tuán)隊(duì)，這就表明項(xiàng)目正在幫助公司做該做的事情。

他曾在一家公司工作，該公司每月大約有50臺電腦因?yàn)閻阂廛浖戮€，所以他投資了一些技術(shù)來降低每月的平均下線率。當(dāng)他走到董事會之前，Hayslip并沒有關(guān)注新技術(shù)的成本，而是關(guān)注降低修復(fù)成本和減少宕機(jī)時間為組織機(jī)構(gòu)帶來的投資價(jià)值。

11. 確定衡量成功的標(biāo)準(zhǔn)

Chinn表示，首席信息安全官們應(yīng)該反思他們是否充分地向董事會傳達(dá)了信息。因?yàn)槭欠癯浞趾投聲贤税踩呗詫I(yè)務(wù)的影響，關(guān)乎著他們的安全策略將獲得多少支持和資金。

Chinn認(rèn)識一位首席信息安全官，當(dāng)公司數(shù)據(jù)泄露成為新聞時，他會通過董事會成員的反應(yīng)來判斷自己在這一方面做的是否成功。

他表示當(dāng)發(fā)生信息泄露事件后，董事會成員提出明智的問題或根本不提問題時，他就知道自己在向董事會報(bào)告方面工作做的很好。因?yàn)檫@表明他們信任身為首席信息安全官的他。

12. 把握好機(jī)會

Clyde表示，首席信息安全官們應(yīng)該向全體董事會報(bào)告，并指出很多首席信息安全官不是向全體董事會報(bào)告，而是向?qū)徲?jì)和風(fēng)險(xiǎn)委員會報(bào)告。如果會議還沒有進(jìn)入董事會的議程，他們應(yīng)該主動采取行動。

此外，首席信息安全官應(yīng)該將他們在董事會面前的時間當(dāng)做一個機(jī)會，宣傳強(qiáng)大的網(wǎng)絡(luò)安全項(xiàng)目的重要性，并強(qiáng)調(diào)其所在組織機(jī)構(gòu)網(wǎng)絡(luò)安全功能的優(yōu)勢、差距和戰(zhàn)略。Clyde表示，ISACA建議首席信息安全官至少每年應(yīng)該和董事會召開一次會議。

全美企業(yè)董事協(xié)會調(diào)查報(bào)告地址：

https://www.nacdonline.org/analytics/survey.cfm?ItemNumber=64105

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文