能否與董事會成功溝通可能不會決定CISO的職業(yè)生涯，但這一能力正變得越來越重要——尤其是當(dāng)風(fēng)險意識強的董事會尋求戰(zhàn)略安全見解時。

挑戰(zhàn)不僅僅在于呈現(xiàn)技術(shù)信息——而在于將網(wǎng)絡(luò)安全與董事會的優(yōu)先事項和業(yè)務(wù)目標(biāo)結(jié)合起來。

然而，CISO們可能難以分辨董事會到底想聽什么、不想聽什么，但還是有方法可以解讀他們的期望并與之有效互動的。

在董事會中找到盟友

找到一個支持者或倡導(dǎo)者可以幫助CISO使自己的報告與董事會的要求保持一致，并建立更好的互動關(guān)系。“找一個董事會冠軍，幫助弄清董事會到底想聽什么。”多米諾集團的CISO斯蒂芬·貝內(nèi)特(Stephen Bennett)說。

CISO們可能會花費大量時間試圖弄清楚董事會想要什么，并制作各種類型的報告，希望符合董事會的要求，但直接向源頭了解會更容易。

貝內(nèi)特與一位董事會成員合作，發(fā)現(xiàn)這有助于改進(jìn)他的報告方式。這意味著要更多地提供戰(zhàn)略性和高層次的見解，或解釋那些沒有具體網(wǎng)絡(luò)安全知識的董事需要了解的技術(shù)信息。“令我驚訝的是，我們常用的一些術(shù)語，比如‘端點’‘防火墻’或‘NIST框架’，董事會都不太了解。”他告訴記者。

他意識到需要為董事會填補這一空白，并因此開發(fā)了一個術(shù)語表，以及一份解釋與組織相關(guān)的合規(guī)框架和標(biāo)準(zhǔn)的白皮書，它提供了基礎(chǔ)信息，并確保所有人都在使用一種通用語言。

“這些文件很少改變，因為成熟度評估中的合規(guī)要求和風(fēng)險管理框架相對一致。”他說。

打好基礎(chǔ)后，貝內(nèi)特就能夠利用定期報告更新企業(yè)是如何緩解風(fēng)險的，并強化網(wǎng)絡(luò)安全投資的價值。“我會解釋我們目前所處的成熟度階段、去年所做的工作、明年需要做的工作，以及所需的預(yù)算。”他說。

這段經(jīng)歷幫助他改變了方法，從提供更像是風(fēng)險登記冊的風(fēng)險報告，轉(zhuǎn)變?yōu)樘峁┮詷I(yè)務(wù)語言表述的戰(zhàn)略風(fēng)險評估。向首席財務(wù)官(CFO)報告這條線的變更也幫助他擬定了面向業(yè)務(wù)的報告。

“只有當(dāng)你向不參與技術(shù)工作的人員報告時，你才會意識到自己是在使用專業(yè)術(shù)語，或是沒有貼近業(yè)務(wù)語言。”貝內(nèi)特說。

解碼董事會希望安全負(fù)責(zé)人做什么

網(wǎng)絡(luò)安全負(fù)責(zé)人需要與董事會保持定期聯(lián)系，以培養(yǎng)熟悉感和理解。如果沒有這一點，不明確的情況可能會導(dǎo)致要么過度分享技術(shù)細(xì)節(jié)，要么沒有提供足夠的戰(zhàn)略背景。

前CISO、現(xiàn)任董事會顧問、獨立董事和導(dǎo)師保羅·康奈利(Paul Connelly)發(fā)現(xiàn)，許多CISO過于注重指標(biāo)，而董事會則希望獲得更多戰(zhàn)略見解。董事會不需要知道你的釣魚測試的結(jié)果，康奈利說。董事會關(guān)注的是企業(yè)面臨的風(fēng)險、解決這些風(fēng)險的策略、進(jìn)度更新、成功的障礙，以及他們是否在處理正確的事情。

“我指導(dǎo)CISO們研究他們的董事會——閱讀他們的簡歷，了解他們的背景，了解董事會的信托責(zé)任，”他說。目標(biāo)是了解董事會的構(gòu)成和他們的優(yōu)先事項，并將他們的指標(biāo)納入業(yè)務(wù)的風(fēng)險和威脅分析。

利用這些信息，CISO們可以開發(fā)一個與業(yè)務(wù)相一致的項目故事。“那個高層次的故事——輔以指標(biāo)測量——就是董事會想聽到的，而不是一堆關(guān)于惡意郵件和關(guān)鍵補丁的指標(biāo)，或像‘小雞快跑’故事里那樣嚇人的威脅。”康奈利告訴記者。

然而，這不是單向互動，但許多CISO與缺乏相應(yīng)技能和理解力以促進(jìn)有關(guān)網(wǎng)絡(luò)威脅的有意義討論的董事會進(jìn)行互動。“很少有公司的董事會中有真正的技術(shù)或網(wǎng)絡(luò)安全專家。”康奈利說。

據(jù)2024年Diligent Institute的一份報告顯示，只有5%的公司擁有網(wǎng)絡(luò)安全專家進(jìn)入董事會，這表明大多數(shù)董事會在網(wǎng)絡(luò)安全監(jiān)督方面存在困難。

盡管技術(shù)對創(chuàng)新和增長至關(guān)重要，而相關(guān)風(fēng)險也是公司面臨的最大且最復(fù)雜的風(fēng)險之一，但許多董事會卻不具備處理這一話題的技能。“他們只是在管理層提出的內(nèi)容上蓋章，或是提出一些他們從麥肯錫的一篇文章中讀到的五個常見問題，但無法進(jìn)一步探究他們得到的答案。”康奈利說。

他建議CISO在季度董事會資料中包含簡短的培訓(xùn)視頻、進(jìn)行董事會桌面演練，或加入其他教育材料。“任何能幫助填補專業(yè)空白的東西。”

超越‘是’或‘否’的問題以及董事會與網(wǎng)絡(luò)安全之間的脫節(jié)

在一系列領(lǐng)域，CISO對網(wǎng)絡(luò)安全優(yōu)先事項的看法與他們的董事會之間存在顯著脫節(jié)。根據(jù)Splunk的CISO報告，CISO更可能認(rèn)為知識深度是一項重要技能，而董事會則希望CISO在溝通和商業(yè)敏銳度方面做得更好。此外，董事會比CISO更堅持對現(xiàn)有的網(wǎng)絡(luò)安全控制進(jìn)行驗證測試，并認(rèn)為合規(guī)即成功。

這種對網(wǎng)絡(luò)理解的差距可能會讓董事們在充分利用CISO及其專業(yè)知識方面準(zhǔn)備不足。

“你需要明白，一些董事會成員會非常關(guān)心網(wǎng)絡(luò)安全，而另一些則不會。有時你必須向所有董事會成員介紹報告——有些人想要無限細(xì)節(jié)，而另一些人只想聽到：‘一切都好，是嗎?’”貝內(nèi)特說。

為了超越‘是’和‘否’的問題，并向董事會提供有價值的背景見解和戰(zhàn)略指導(dǎo)，CISO們需要的不僅僅是打勾練習(xí)。貝內(nèi)特發(fā)現(xiàn)，利用額外的信息來源是拆解現(xiàn)實風(fēng)險和業(yè)務(wù)影響的有效方法。“我不會只是說：‘這些是風(fēng)險’。我會提供一些背景，幫助他們更深入地理解。”貝內(nèi)特說。

可以將新聞中關(guān)于安全事件的文章與安全控制聯(lián)系起來，說明預(yù)算是如何使用的，以及如果面臨同類型的威脅，這對企業(yè)的風(fēng)險水平和響應(yīng)時間意味著什么。“我不僅僅會給出數(shù)字，我還會向他們展示我們的投資是如何發(fā)揮作用的。例如，我們是如何從可能需要五個團隊成員三天時間來解決一個事件，轉(zhuǎn)變?yōu)樵谒膫€小時內(nèi)解決，并具有完全可見性。”他說。

在正式會議之外尋找與董事會成員互動的機會，也是CISO們改善與董事會成員交流的有力方式。

無論是通過委員會還是臨時的一對一會議，這些互動有助于與董事會成員建立融洽關(guān)系，根據(jù)IANS 2025年《CISO現(xiàn)狀報告》顯示。

康奈利認(rèn)為，這也是CISO與董事會之間建立成功工作關(guān)系的另一個重要因素。在他擔(dān)任CISO期間，他被邀請參加董事會晚宴，并真正了解了審計委員會成員。“那種程度的接觸和舒適感促進(jìn)了良好的討論，董事會成員們也很自在地提出問題。”他說。