至少對于那些有著健康安全文化的企業(yè)而言，安全負責(zé)人與董事會高管之間的距離正在縮小。許多企業(yè)的高管已經(jīng)很大程度上的接受，他們需要了解網(wǎng)絡(luò)安全風(fēng)險與企業(yè)經(jīng)營風(fēng)險的關(guān)系，如何擔(dān)當(dāng)治理責(zé)任，以及網(wǎng)絡(luò)風(fēng)險如何從財務(wù)、名譽、法律、運營等層面影響企業(yè)。數(shù)字化業(yè)務(wù)的程度越高，網(wǎng)絡(luò)安全就會越成為影響競爭力、業(yè)務(wù)連續(xù)性、可靠性和信任度的關(guān)鍵問題。

網(wǎng)絡(luò)安全逐漸上升為董事會級別的討論內(nèi)容，這一趨勢已經(jīng)成為業(yè)界共識。但面對專業(yè)的網(wǎng)絡(luò)安全語境時，董事會高管往往難以理解這些術(shù)語或指標到底意味著什么。以下是讓董事會更好地理解網(wǎng)絡(luò)風(fēng)險的三種匯報方式。

[[394940]]

1. 理解董事會的責(zé)任

與董事會建立有效的溝通，需要安全負責(zé)人從業(yè)務(wù)的角度出發(fā)，理解董事會的職責(zé)范圍和責(zé)任，以及技術(shù)如何驅(qū)動業(yè)務(wù)生態(tài)系統(tǒng)。同時，安全負責(zé)人要盡量爭取到企業(yè)風(fēng)險管理人員的支持，因為在向董事會解釋網(wǎng)絡(luò)風(fēng)險帶來的運營與戰(zhàn)略風(fēng)險方面，風(fēng)險管理人員所具備的知識最為匹配。

2. 用董事會熟悉的格式展示數(shù)據(jù)

通過數(shù)據(jù)顯示面板結(jié)合圖例用數(shù)據(jù)丟失、數(shù)據(jù)可靠性、系統(tǒng)可靠性等分類，對像關(guān)鍵性能、關(guān)鍵控制和關(guān)鍵風(fēng)險等指標進行風(fēng)險的展示。這種類型的數(shù)據(jù)可以幫助董事會在安全預(yù)算和新技術(shù)的部署方面做出合理的決策，也就是說要站在企業(yè)風(fēng)險的角度來使用相關(guān)數(shù)據(jù)。

把一堆風(fēng)險場景提供給董事會并沒有什么作用，但要是把這些場景用可量化的指標，按照優(yōu)先級順序并輔以高層比較熟悉的格式展現(xiàn)出來，效果就會有著很大的不同。董事會成員最熟悉管理財務(wù)指標，因此風(fēng)險管理的指標越類似于財務(wù)報表和收入預(yù)測，作管理網(wǎng)絡(luò)安全風(fēng)險的決策就越容易。

3. 了解你的基準

還有一種非常重要的匯報方式，就是借用友商的例子來構(gòu)建討論框架。強調(diào)入侵事件給競爭對手帶來的影響固然會抓住董事會的注意力，但更為重要的是要有實質(zhì)性的談話效果。如，企業(yè)在風(fēng)險控制措施的成熟度上與友商的比對。如果兩者存在差距的話，需要采取何種措施來彌補差距。