多年來，CISO一直努力讓董事會(huì)理解安全不僅僅是流行語，許多人感覺他們被忽視或誤解，但隨著威脅的增加和法規(guī)的收緊，這種情況正在改變。董事會(huì)現(xiàn)在期望CISO用他們的語言交流：風(fēng)險(xiǎn)、金錢、影響。

以下是安全領(lǐng)導(dǎo)者如何在董事會(huì)中引起共鳴的實(shí)用建議。

將風(fēng)險(xiǎn)轉(zhuǎn)化為金錢

董事會(huì)并非由技術(shù)人員組成，大多數(shù)成員來自財(cái)務(wù)、法律或運(yùn)營部門，他們從業(yè)務(wù)表現(xiàn)、責(zé)任和股東價(jià)值的角度思考。

因此，不要帶著威脅源或補(bǔ)丁統(tǒng)計(jì)數(shù)據(jù)出現(xiàn)，專注于對(duì)他們重要的事情。例如：

? 勒索軟件攻擊如何可能使?fàn)I收中斷一周

? 審計(jì)失敗可能如何影響客戶信任

? 數(shù)據(jù)泄露可能如何觸發(fā)監(jiān)管罰款

在與董事會(huì)交流時(shí)，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要從技術(shù)術(shù)語轉(zhuǎn)向風(fēng)險(xiǎn)和財(cái)務(wù)語言?！岸聲?huì)從概率和財(cái)務(wù)影響的角度思考，而不是技術(shù)術(shù)語，”O(jiān)ptiv全球網(wǎng)絡(luò)風(fēng)險(xiǎn)和董事會(huì)關(guān)系副總裁詹姆斯·圖爾加爾(James Turgal)說。

為了使網(wǎng)絡(luò)風(fēng)險(xiǎn)引起共鳴，圖爾加爾使用風(fēng)險(xiǎn)量化模型，如FAIR(信息風(fēng)險(xiǎn)因素分析)。這些模型允許CISO用董事會(huì)能理解的方式表達(dá)威脅?！拔沂紫裙烙?jì)三件事：壞事可能發(fā)生的頻率、可能造成的損失以及在品牌、銷售或市場(chǎng)份額方面的業(yè)務(wù)影響?！彼忉尩馈?/p>

圖爾加爾不談?wù)搻阂廛浖兎N或攻擊向量，而是呈現(xiàn)場(chǎng)景，如：“今年勒索軟件攻擊的風(fēng)險(xiǎn)為5%，如果發(fā)生，平均損失將為450萬美元?！彼€將網(wǎng)絡(luò)風(fēng)險(xiǎn)與具體的業(yè)務(wù)結(jié)果聯(lián)系起來。例如，他可能會(huì)展示客戶門戶被入侵如何因服務(wù)中斷和客戶流失而在一個(gè)季度內(nèi)減少8%的營收。

“每位首席財(cái)務(wù)官都知道系統(tǒng)停機(jī)導(dǎo)致的每日運(yùn)營損失數(shù)字，”圖爾加爾指出?！癈ISO只需進(jìn)行計(jì)算?！?/p>

圖爾加爾還建議將網(wǎng)絡(luò)風(fēng)險(xiǎn)與董事會(huì)已經(jīng)使用的財(cái)務(wù)指標(biāo)對(duì)齊，如風(fēng)險(xiǎn)價(jià)值?！叭绻覀儾簧?jí)云安全控制，我們預(yù)計(jì)年度損失敞口為120萬美元，”他可能會(huì)說。這有助于將技術(shù)決策轉(zhuǎn)化為董事會(huì)可以權(quán)衡和采取行動(dòng)的底線后果。

關(guān)注趨勢(shì)，使用通俗語言

董事會(huì)不需要每個(gè)威脅警報(bào)，但他們確實(shí)想知道情況是在變好還是變壞。向他們展示一段時(shí)間內(nèi)的進(jìn)展。例如：

? 釣魚嘗試和響應(yīng)時(shí)間的季度趨勢(shì)

? 顯示員工在模擬攻擊中的點(diǎn)擊率的指標(biāo)

? 將當(dāng)前風(fēng)險(xiǎn)水平與上一季度進(jìn)行比較的記分卡

突出異常值。什么在惡化?什么在控制之中?對(duì)差距保持透明，并說明你正在采取什么措施來彌補(bǔ)它們。

避免使用術(shù)語。說“罪犯入侵了”而不是“未經(jīng)授權(quán)的訪問”。說“他們加密了我們的文件并要求贖金”而不是“勒索軟件事件”，然后，用簡(jiǎn)單的視覺輔助工具來支持你的觀點(diǎn)。餅圖或風(fēng)險(xiǎn)熱圖比滿是數(shù)字的電子表格有效得多。

保持更新簡(jiǎn)短。董事會(huì)會(huì)議時(shí)間緊張。不要用細(xì)節(jié)淹沒他們。目標(biāo)是進(jìn)行一次五分鐘的更新，包含清晰的要點(diǎn)：什么變了?風(fēng)險(xiǎn)是什么?你有什么建議?

“面對(duì)復(fù)雜的技術(shù)主題和不斷演變的威脅，典型的時(shí)間段往往不足以進(jìn)行有意義的對(duì)話。安全領(lǐng)導(dǎo)者可以通過提前準(zhǔn)備簡(jiǎn)潔、以業(yè)務(wù)為中心的簡(jiǎn)報(bào)材料，并優(yōu)先討論最關(guān)鍵的問題來解決這個(gè)問題。當(dāng)時(shí)間限制持續(xù)存在時(shí)，他們應(yīng)該倡導(dǎo)召開專門會(huì)議，以確保對(duì)網(wǎng)絡(luò)安全事務(wù)進(jìn)行適當(dāng)?shù)谋O(jiān)督?！盩eam8的駐場(chǎng)CISO羅斯·楊(Ross Young)說。

將安全與業(yè)務(wù)目標(biāo)聯(lián)系起來

為了將網(wǎng)絡(luò)安全與業(yè)務(wù)目標(biāo)對(duì)齊，CISO必須了解公司的核心使命，并確定安全與該使命的交集。“一個(gè)例子是創(chuàng)建一個(gè)關(guān)于網(wǎng)絡(luò)安全如何保護(hù)營收和增長的談話框架，”圖爾加爾說。當(dāng)信任受到損害時(shí)，后果是即時(shí)的：影響銷售、品牌忠誠度，并最終影響市場(chǎng)份額。

據(jù)圖爾加爾稱，這種對(duì)齊往往歸結(jié)為將特定的安全舉措與公司的戰(zhàn)略目標(biāo)聯(lián)系起來。例如，如果企業(yè)正在擴(kuò)展到國際市場(chǎng)，CISO可以通過獲得網(wǎng)絡(luò)安全認(rèn)證(如ISO 27001)或與GDPR隱私框架對(duì)齊來支持這一目標(biāo)。這些不僅降低了風(fēng)險(xiǎn)，還有助于在新地區(qū)建立信譽(yù)。

在與董事會(huì)溝通時(shí)，圖爾加爾建議將網(wǎng)絡(luò)安全舉措映射到股東價(jià)值上。“如果業(yè)務(wù)目標(biāo)是保護(hù)股東價(jià)值，那么這與業(yè)務(wù)連續(xù)性和提高運(yùn)營正常運(yùn)行時(shí)間有直接聯(lián)系?！睘榱酥С诌@一點(diǎn)，安全領(lǐng)導(dǎo)者可能會(huì)通過容器化不可變備份、災(zāi)難恢復(fù)和事件響應(yīng)計(jì)劃來提高網(wǎng)絡(luò)韌性——這些工具可以減輕損害品牌的攻擊并防止股價(jià)波動(dòng)。

合規(guī)性是安全與業(yè)務(wù)戰(zhàn)略相交的另一個(gè)領(lǐng)域。“如果業(yè)務(wù)目標(biāo)是保持合規(guī)性并避免或減少罰款，那么網(wǎng)絡(luò)安全的關(guān)聯(lián)將是投資和實(shí)施合規(guī)自動(dòng)化應(yīng)用程序和安全控制，”圖爾加爾解釋道。這些措施確保與PCI-DSS、SOX或HIPAA等法規(guī)保持一致，具體取決于組織的行業(yè)。

預(yù)測(cè)董事會(huì)問題

在每次會(huì)議前，問自己：

? 他們現(xiàn)在最關(guān)心什么風(fēng)險(xiǎn)?

? 是否有他們會(huì)問我的頭條新聞?

? 我需要他們做出什么決定?

以這些問題為框架準(zhǔn)備你的更新。并練習(xí)回答諸如以下問題：

? 我們做得夠嗎?

? 我們與同行相比如何?

? 這會(huì)發(fā)生在我們身上嗎?

不要害怕說“我不知道”，但總是要跟進(jìn)說“我會(huì)查明并回復(fù)你”。

每次董事會(huì)會(huì)議后，跟進(jìn)一份書面總結(jié)：你展示了什么，你得到了什么反饋，以及做出了什么決定，這建立了責(zé)任感并展示了專業(yè)性，它還有助于在優(yōu)先級(jí)發(fā)生變化或預(yù)算削減時(shí)。你將有一個(gè)記錄，說明達(dá)成了什么共識(shí)，以及為什么它很重要。

在董事會(huì)外建立關(guān)系

一些最有成效的對(duì)話并不發(fā)生在會(huì)議中，它們發(fā)生在喝咖啡時(shí)，或與個(gè)別董事會(huì)成員的通話中。

如果可能，與董事安排一對(duì)一會(huì)議，向他們介紹關(guān)鍵風(fēng)險(xiǎn)，問他們想了解更多什么。找出他們更喜歡如何接收信息。

通過在會(huì)議外建立融洽關(guān)系，你在會(huì)議中將面臨更少的意外。

你在董事會(huì)中的最強(qiáng)盟友通常是首席財(cái)務(wù)官和法律負(fù)責(zé)人，他們理解風(fēng)險(xiǎn)和責(zé)任，并說董事會(huì)的語言。

與他們合作來塑造你的信息。請(qǐng)他們檢驗(yàn)?zāi)愕臄?shù)據(jù)，并幫助完善風(fēng)險(xiǎn)的財(cái)務(wù)影響。如果他們支持你，你的信息將更有分量。

擁有健康董事會(huì)關(guān)系的CISO往往在整個(gè)組織中有更好的協(xié)作。根據(jù)最近的Splunk研究，他們也更有可能被賦予追求生成性AI用例的能力，如創(chuàng)建威脅檢測(cè)規(guī)則、分析數(shù)據(jù)源、事件響應(yīng)和取證調(diào)查，以及主動(dòng)威脅狩獵。