在本次訪談中，PlanSource的CISO David Christensen提出了一些策略，以幫助董事會理解和認知網絡安全風險管理、戰略和治理對企業的更廣泛影響。

采訪摘錄

董事會成員和CISO對網絡攻擊風險的看法往往不一致。在你看來，造成這種差異的主要原因是什么?

立場不同是董事會成員和CISO并不總是一致的根本原因。董事會成員通常對企業的目標、戰略和整體風險前景有更廣泛的看法;CISO則負責評估和緩解網絡安全風險。這些立場上的差異導致了不同的優先事項和風險評估。然而，當董事會成員和CISO對網絡攻擊風險的看法不一致時，通常是由于董事會成員缺乏網絡安全專業知識，無法理解主題的復雜性以及CISO在與董事會討論時過于關注技術語言造成的。

向董事會傳達網絡風險要求CISO理解聽眾，將技術術語翻譯成業務語言，使董事會將CISO視為戰略合作伙伴。成為戰略合作伙伴還需要CISO從投資回報率的角度來看待他們的網絡安全投資，以幫助董事會了解投資與優先級和支出的重要性。

CISO還需要了解，董事會成員的決策時間通常較短，他們更關注季度或年度業績，而CISO則更關注網絡攻擊的潛在長期影響，并倡導采取積極措施。這種時間范圍的不一致可能導致風險認知的差異。

CISO如何有效地將技術術語翻譯成董事會成員能夠理解和參與的業務語言?你有什么具體的策略或方法嗎?

CISO需要了解董事會成員的知識和背景，以便能夠將技術術語翻譯成業務語言和目標受眾熟悉的內容。以我自身為例，我通過將技術術語與日常情況或業務場景聯系起來，讓董事會更容易掌握。

為了有效地進行這種溝通，我還會與技術團隊之外的其他業務領導合作，以優化業務一致性。專注于網絡安全風險的潛在業務影響，還可以讓CISO根據其后果(如財務損失或對公司品牌的損害)來構建技術問題。

同樣重要的是，要簡明扼要，避免過度夸大網絡風險，同時仍要專注于你要求董事會權衡的戰略目標。為了彌合董事會成員和CISO之間的缺口，CISO必須加強溝通，對董事會成員進行網絡安全風險教育，并促進協作決策方法。

許多董事會仍將網絡安全視為純粹的技術問題。他們可以采用什么策略來理解和認知網絡安全對企業和戰略的更廣泛影響?

為了讓董事會更好地理解和認知網絡安全對企業和戰略的廣泛影響，需要改變對網絡風險的看法和處理方式。董事會可以從克服普遍存在的CISO與董事會之間的“脫節”開始，在董事會會議之外與CISO建立直接的戰略關系。董事會還應該把更多的時間花在網絡安全話題上，并允許CISO向董事會傳達風險，而不僅僅是幾張季度幻燈片。網絡安全專業知識也需要成為董事會組成的一部分，囊括兼具業務和網絡經驗的董事。

你如何看待美國證券交易委員會提出的修正案會改變董事會處理網絡安全風險管理、戰略和治理的方式?

當美國證券交易委員會提出的修正案成為現實時，我預計董事會將更加關注網絡安全問題。希望這些變化能夠引導董事會在受到事件影響之前投入更多的資源、時間和專業知識來評估、管理和緩解網絡安全風險。

我預計，這將導致董事會建立或加強與網絡安全相關的治理結構，從而為網絡安全監督定義明確的角色和責任，并最終在董事會層面出現網絡安全專業人士。這些修正案還將鼓勵董事會將網絡安全考慮納入其整體業務戰略。

在你看來，董事會成員可以采取哪些具體措施來提高他們對網絡安全風險的理解，并評估有效管理這些風險的計劃?

董事會成員應該積極學習網絡安全知識，參加培訓、研討會和會議，以幫助他們了解新出現的威脅和最新趨勢。董事會還應建立一個專門的網絡安全委員會，由具有相關專業知識的成員組成，以幫助評估和監督企業內的網絡安全舉措。

董事會還應與網絡安全專家和顧問接觸，以深入了解其企業面臨的具體風險和挑戰。此外，董事會應要求其企業定期進行風險評估，并審查網絡安全報告，這將提供有關企業網絡安全態勢的概述。