采訪摘錄
董事會成員和CISO對網(wǎng)絡(luò)攻擊風(fēng)險的看法往往不一致。在你看來,造成這種差異的主要原因是什么?
立場不同是董事會成員和CISO并不總是一致的根本原因。董事會成員通常對企業(yè)的目標(biāo)、戰(zhàn)略和整體風(fēng)險前景有更廣泛的看法;CISO則負責(zé)評估和緩解網(wǎng)絡(luò)安全風(fēng)險。這些立場上的差異導(dǎo)致了不同的優(yōu)先事項和風(fēng)險評估。然而,當(dāng)董事會成員和CISO對網(wǎng)絡(luò)攻擊風(fēng)險的看法不一致時,通常是由于董事會成員缺乏網(wǎng)絡(luò)安全專業(yè)知識,無法理解主題的復(fù)雜性以及CISO在與董事會討論時過于關(guān)注技術(shù)語言造成的。
向董事會傳達網(wǎng)絡(luò)風(fēng)險要求CISO理解聽眾,將技術(shù)術(shù)語翻譯成業(yè)務(wù)語言,使董事會將CISO視為戰(zhàn)略合作伙伴。成為戰(zhàn)略合作伙伴還需要CISO從投資回報率的角度來看待他們的網(wǎng)絡(luò)安全投資,以幫助董事會了解投資與優(yōu)先級和支出的重要性。
CISO還需要了解,董事會成員的決策時間通常較短,他們更關(guān)注季度或年度業(yè)績,而CISO則更關(guān)注網(wǎng)絡(luò)攻擊的潛在長期影響,并倡導(dǎo)采取積極措施。這種時間范圍的不一致可能導(dǎo)致風(fēng)險認知的差異。
CISO如何有效地將技術(shù)術(shù)語翻譯成董事會成員能夠理解和參與的業(yè)務(wù)語言?你有什么具體的策略或方法嗎?
CISO需要了解董事會成員的知識和背景,以便能夠?qū)⒓夹g(shù)術(shù)語翻譯成業(yè)務(wù)語言和目標(biāo)受眾熟悉的內(nèi)容。以我自身為例,我通過將技術(shù)術(shù)語與日常情況或業(yè)務(wù)場景聯(lián)系起來,讓董事會更容易掌握。
為了有效地進行這種溝通,我還會與技術(shù)團隊之外的其他業(yè)務(wù)領(lǐng)導(dǎo)合作,以優(yōu)化業(yè)務(wù)一致性。專注于網(wǎng)絡(luò)安全風(fēng)險的潛在業(yè)務(wù)影響,還可以讓CISO根據(jù)其后果(如財務(wù)損失或?qū)酒放频膿p害)來構(gòu)建技術(shù)問題。
同樣重要的是,要簡明扼要,避免過度夸大網(wǎng)絡(luò)風(fēng)險,同時仍要專注于你要求董事會權(quán)衡的戰(zhàn)略目標(biāo)。為了彌合董事會成員和CISO之間的缺口,CISO必須加強溝通,對董事會成員進行網(wǎng)絡(luò)安全風(fēng)險教育,并促進協(xié)作決策方法。
許多董事會仍將網(wǎng)絡(luò)安全視為純粹的技術(shù)問題。他們可以采用什么策略來理解和認知網(wǎng)絡(luò)安全對企業(yè)和戰(zhàn)略的更廣泛影響?
為了讓董事會更好地理解和認知網(wǎng)絡(luò)安全對企業(yè)和戰(zhàn)略的廣泛影響,需要改變對網(wǎng)絡(luò)風(fēng)險的看法和處理方式。董事會可以從克服普遍存在的CISO與董事會之間的“脫節(jié)”開始,在董事會會議之外與CISO建立直接的戰(zhàn)略關(guān)系。董事會還應(yīng)該把更多的時間花在網(wǎng)絡(luò)安全話題上,并允許CISO向董事會傳達風(fēng)險,而不僅僅是幾張季度幻燈片。網(wǎng)絡(luò)安全專業(yè)知識也需要成為董事會組成的一部分,囊括兼具業(yè)務(wù)和網(wǎng)絡(luò)經(jīng)驗的董事。
你如何看待美國證券交易委員會提出的修正案會改變董事會處理網(wǎng)絡(luò)安全風(fēng)險管理、戰(zhàn)略和治理的方式?
當(dāng)美國證券交易委員會提出的修正案成為現(xiàn)實時,我預(yù)計董事會將更加關(guān)注網(wǎng)絡(luò)安全問題。希望這些變化能夠引導(dǎo)董事會在受到事件影響之前投入更多的資源、時間和專業(yè)知識來評估、管理和緩解網(wǎng)絡(luò)安全風(fēng)險。
我預(yù)計,這將導(dǎo)致董事會建立或加強與網(wǎng)絡(luò)安全相關(guān)的治理結(jié)構(gòu),從而為網(wǎng)絡(luò)安全監(jiān)督定義明確的角色和責(zé)任,并最終在董事會層面出現(xiàn)網(wǎng)絡(luò)安全專業(yè)人士。這些修正案還將鼓勵董事會將網(wǎng)絡(luò)安全考慮納入其整體業(yè)務(wù)戰(zhàn)略。
在你看來,董事會成員可以采取哪些具體措施來提高他們對網(wǎng)絡(luò)安全風(fēng)險的理解,并評估有效管理這些風(fēng)險的計劃?
董事會成員應(yīng)該積極學(xué)習(xí)網(wǎng)絡(luò)安全知識,參加培訓(xùn)、研討會和會議,以幫助他們了解新出現(xiàn)的威脅和最新趨勢。董事會還應(yīng)建立一個專門的網(wǎng)絡(luò)安全委員會,由具有相關(guān)專業(yè)知識的成員組成,以幫助評估和監(jiān)督企業(yè)內(nèi)的網(wǎng)絡(luò)安全舉措。
董事會還應(yīng)與網(wǎng)絡(luò)安全專家和顧問接觸,以深入了解其企業(yè)面臨的具體風(fēng)險和挑戰(zhàn)。此外,董事會應(yīng)要求其企業(yè)定期進行風(fēng)險評估,并審查網(wǎng)絡(luò)安全報告,這將提供有關(guān)企業(yè)網(wǎng)絡(luò)安全態(tài)勢的概述。
