在本次訪談中，PlanSource的CISO David Christensen提出了一些策略，以幫助董事會(huì)理解和認(rèn)知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、戰(zhàn)略和治理對(duì)企業(yè)的更廣泛影響。

采訪摘錄

董事會(huì)成員和CISO對(duì)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的看法往往不一致。在你看來，造成這種差異的主要原因是什么?

立場(chǎng)不同是董事會(huì)成員和CISO并不總是一致的根本原因。董事會(huì)成員通常對(duì)企業(yè)的目標(biāo)、戰(zhàn)略和整體風(fēng)險(xiǎn)前景有更廣泛的看法;CISO則負(fù)責(zé)評(píng)估和緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這些立場(chǎng)上的差異導(dǎo)致了不同的優(yōu)先事項(xiàng)和風(fēng)險(xiǎn)評(píng)估。然而，當(dāng)董事會(huì)成員和CISO對(duì)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的看法不一致時(shí)，通常是由于董事會(huì)成員缺乏網(wǎng)絡(luò)安全專業(yè)知識(shí)，無法理解主題的復(fù)雜性以及CISO在與董事會(huì)討論時(shí)過于關(guān)注技術(shù)語言造成的。

向董事會(huì)傳達(dá)網(wǎng)絡(luò)風(fēng)險(xiǎn)要求CISO理解聽眾，將技術(shù)術(shù)語翻譯成業(yè)務(wù)語言，使董事會(huì)將CISO視為戰(zhàn)略合作伙伴。成為戰(zhàn)略合作伙伴還需要CISO從投資回報(bào)率的角度來看待他們的網(wǎng)絡(luò)安全投資，以幫助董事會(huì)了解投資與優(yōu)先級(jí)和支出的重要性。

CISO還需要了解，董事會(huì)成員的決策時(shí)間通常較短，他們更關(guān)注季度或年度業(yè)績(jī)，而CISO則更關(guān)注網(wǎng)絡(luò)攻擊的潛在長(zhǎng)期影響，并倡導(dǎo)采取積極措施。這種時(shí)間范圍的不一致可能導(dǎo)致風(fēng)險(xiǎn)認(rèn)知的差異。

CISO如何有效地將技術(shù)術(shù)語翻譯成董事會(huì)成員能夠理解和參與的業(yè)務(wù)語言?你有什么具體的策略或方法嗎?

CISO需要了解董事會(huì)成員的知識(shí)和背景，以便能夠?qū)⒓夹g(shù)術(shù)語翻譯成業(yè)務(wù)語言和目標(biāo)受眾熟悉的內(nèi)容。以我自身為例，我通過將技術(shù)術(shù)語與日常情況或業(yè)務(wù)場(chǎng)景聯(lián)系起來，讓董事會(huì)更容易掌握。

為了有效地進(jìn)行這種溝通，我還會(huì)與技術(shù)團(tuán)隊(duì)之外的其他業(yè)務(wù)領(lǐng)導(dǎo)合作，以優(yōu)化業(yè)務(wù)一致性。專注于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的潛在業(yè)務(wù)影響，還可以讓CISO根據(jù)其后果(如財(cái)務(wù)損失或?qū)酒放频膿p害)來構(gòu)建技術(shù)問題。

同樣重要的是，要簡(jiǎn)明扼要，避免過度夸大網(wǎng)絡(luò)風(fēng)險(xiǎn)，同時(shí)仍要專注于你要求董事會(huì)權(quán)衡的戰(zhàn)略目標(biāo)。為了彌合董事會(huì)成員和CISO之間的缺口，CISO必須加強(qiáng)溝通，對(duì)董事會(huì)成員進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)教育，并促進(jìn)協(xié)作決策方法。

許多董事會(huì)仍將網(wǎng)絡(luò)安全視為純粹的技術(shù)問題。他們可以采用什么策略來理解和認(rèn)知網(wǎng)絡(luò)安全對(duì)企業(yè)和戰(zhàn)略的更廣泛影響?

為了讓董事會(huì)更好地理解和認(rèn)知網(wǎng)絡(luò)安全對(duì)企業(yè)和戰(zhàn)略的廣泛影響，需要改變對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的看法和處理方式。董事會(huì)可以從克服普遍存在的CISO與董事會(huì)之間的“脫節(jié)”開始，在董事會(huì)會(huì)議之外與CISO建立直接的戰(zhàn)略關(guān)系。董事會(huì)還應(yīng)該把更多的時(shí)間花在網(wǎng)絡(luò)安全話題上，并允許CISO向董事會(huì)傳達(dá)風(fēng)險(xiǎn)，而不僅僅是幾張季度幻燈片。網(wǎng)絡(luò)安全專業(yè)知識(shí)也需要成為董事會(huì)組成的一部分，囊括兼具業(yè)務(wù)和網(wǎng)絡(luò)經(jīng)驗(yàn)的董事。

你如何看待美國(guó)證券交易委員會(huì)提出的修正案會(huì)改變董事會(huì)處理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、戰(zhàn)略和治理的方式?

當(dāng)美國(guó)證券交易委員會(huì)提出的修正案成為現(xiàn)實(shí)時(shí)，我預(yù)計(jì)董事會(huì)將更加關(guān)注網(wǎng)絡(luò)安全問題。希望這些變化能夠引導(dǎo)董事會(huì)在受到事件影響之前投入更多的資源、時(shí)間和專業(yè)知識(shí)來評(píng)估、管理和緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

我預(yù)計(jì)，這將導(dǎo)致董事會(huì)建立或加強(qiáng)與網(wǎng)絡(luò)安全相關(guān)的治理結(jié)構(gòu)，從而為網(wǎng)絡(luò)安全監(jiān)督定義明確的角色和責(zé)任，并最終在董事會(huì)層面出現(xiàn)網(wǎng)絡(luò)安全專業(yè)人士。這些修正案還將鼓勵(lì)董事會(huì)將網(wǎng)絡(luò)安全考慮納入其整體業(yè)務(wù)戰(zhàn)略。

在你看來，董事會(huì)成員可以采取哪些具體措施來提高他們對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的理解，并評(píng)估有效管理這些風(fēng)險(xiǎn)的計(jì)劃?

董事會(huì)成員應(yīng)該積極學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，參加培訓(xùn)、研討會(huì)和會(huì)議，以幫助他們了解新出現(xiàn)的威脅和最新趨勢(shì)。董事會(huì)還應(yīng)建立一個(gè)專門的網(wǎng)絡(luò)安全委員會(huì)，由具有相關(guān)專業(yè)知識(shí)的成員組成，以幫助評(píng)估和監(jiān)督企業(yè)內(nèi)的網(wǎng)絡(luò)安全舉措。

董事會(huì)還應(yīng)與網(wǎng)絡(luò)安全專家和顧問接觸，以深入了解其企業(yè)面臨的具體風(fēng)險(xiǎn)和挑戰(zhàn)。此外，董事會(huì)應(yīng)要求其企業(yè)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，并審查網(wǎng)絡(luò)安全報(bào)告，這將提供有關(guān)企業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)的概述。