新型冠状病毒的普及和网络犯罪活动的激增引起了公司董事会对安全问题的兴趣。
数据泄露、勒索软件攻击和对全球疫情相关风险的担忧提高了企业董事会对网络安全的兴趣。安全领导人表示,董事会越来越重视安全问题,对网络问题有了更深入的了解,对风险暴露和管理方法提出了更复杂的问题。
虽然很多人仍然认为安全是业务运营的成本,但越来越多的董事会成员开始认为安全是业务的基础。随着疫情爆发后许多公司加快数字化转型计划,董事会希望了解安全将如何支持这些努力和业务需求,以及在劳动力分布更加分散的环境中。
“董事会对技术和安全的理解变得更加精明,”麦当劳首席信息官Timothy Youngblood说,“他们在一定程度上受到证券交易所的驱使,他们希望董事会有一定程度的技术专长。”。他们还得到了美国公司董事会和其他机构在网络安全方面的大量指导。
因此,董事会向安全负责人提出的问题也发生了变化。Youngblood以下是当今人们最关心的六个问题。
1. 网络问责
风险管理公司VigiTrust新书《董事会网络大象》的首席执行官、作者Mathieu Gorge他说,首席信息官需要更好地准备回答董事会关于网络问责的问题。网络问责是指一个组织能够证明他们有能力确保网络安全。如果有问题,他们可以追溯到独特的事件、独特的人或群体,Gorge说。
CISO要准备好解释什么是网络问责,为什么组织要关心,如何开始网络问责之旅,包括什么。“这只是为了证明我们应对网络攻击,我们有一个计划,还是不止这些?它需要涉及谁,需要多少,还是我们真的需要它?”Gorge说。
在解释对策时,安全领导者需要记住,董事会真正想听到的是对整个业务生态系统的问责。这意味着,除了自己的组织外,安全领导者还需要能够描述如何让特许经销商、子公司、业务合作伙伴、供应商和其他第三方负责最佳安全实践。
这种生态系统可以是国际性的,也可以由复杂的、经常发生冲突的规定和标准来管理,都需要一定程度的问责制。CISO需要准备好回答他们可能在做什么,或者计划做什么,以证明这种问责制。“您是否可以通过绘制生态系统图来显示它,是否可以使用一个向您显示正在发生的事情的控制器来显示它,是否表明您已经分类了组织中各种利益相关者对数据的机密访问权?”
2. 新冠肺炎疫情及以后的安全状况
商业支付服务公司Fleetcor的CISO James Edgar全球新冠肺炎疫情促使人们转向远程工作,这也使人们更加关注董事会在网络安全方面提出的问题。
从IT从整体业务的角度来看,目前的重点是如何影响远程工作的运营模式。这些问题与组织能否将大多数员工转移到远程模式并仍然支持业务有关。
Edgar据说他从董事会收到的问题包括与业务连续性有关的问题,以及新冠肺炎疫情来袭时的主要问题。IT项目的潜在影响。“我们能兑现我们认为的重要事件吗?我们能保持目前的安全性和合规性吗?我们的基准是什么?当我们走出新冠肺炎疫情时,我们会达到这些标准吗?”
随着事态的稳定,焦点已经转移到本组织在后新冠肺炎的世界里保持其安全态势的能力,以及为实现这一目标将采取的投资措施。Edgar他的一个有效策略是每季度向董事会提供关于威胁和安全趋势的最新信息。“我们将定期向他们提供我们在勒索软件、端点保护和网络监控方面和网络监控方面所做的最新信息。”
3. 安全策略
Youngblood与几年前相比,董事会对网络安全的思考变得更加战略化。许多董事认为网络安全是其信托责任的一部分,也是其谨慎和忠诚的义务。
“你今天面临的问题是,你应该如何处理不在你控制范围内的事情?--就像第三方一样,”Youngblood说。现在有这么多外包业务,董事们想听听企业的网络安全投资是如何得到保护的。他们想知道组织从中得到了什么,以及是否有任何可能影响业务目标的东西。
Youngblood董事会喜欢听取组织对网络事件的准备,以及在威胁成为主要问题之前是否有检测威胁的控制措施。他们想知道网络安全是否以这种方式与数字转型联系在一起,即安全是基于每一步,而不是固定在最后。值得注意的是,董事会越来越想知道该组织可能没有对网络风险产生负面影响的投资。
回答这样的问题可能很难,这就是为什么CISO、CPO与其他利益相关者在董事会中发挥作用是个好主意。在与董事会讨论战略安全问题时,确保你的演讲不会被允许CISO他惊讶地说。了解董事会的风险偏好,确保网络风险能够纳入企业风险管理的更广泛背景。
“我推荐的方法是从可以讨论的业务和业务成果开始,”Youngblood说。“我不会以更有战略性的方式说话。”
4. 根据行业最佳实践进行基准测试
与同行相比,董事会对其组织的安全状况非常感兴趣。云服务提供商Netenrich的CISO Brandon Hoffman表达。一个驱动因素可能是,在违规行为中,公司的安全措施往往会与行业最佳实践或同行采取的实践进行比较。
“最高层对了解与行业相关的风险感兴趣,”Hoffman说。这种比较本身往往无助于创造一个更安全、更低风险的环境。即便如此,许多董事会仍然希望这样做,因为在商业环境中很少有有效的方法来衡量安全。
“CISO最大的错误之一是没有将与安全相关的风险与业务风险联系起来,”Hoffman说。“相反,报告将围绕合规框架和技术测量展开,”这些充其量只是日常行动的指标。“不幸的是,这确实无助于高管或董事会了解其对业务的影响。”
5. 抵抗网络攻击的能力
虽然董事会在战略和企业风险管理层面对网络安全越来越感兴趣,但他们仍将深入参与组织防御和应对网络攻击的能力。“他们想知道如何利用人员、流程和技术尽可能降低风险,同时保持生产力和安全性之间的适当平衡,”CISO顾问和首席安全科学家Joseph Carson说。
以及董事会可能提出的问题CISO需要解释的问题包括关键业务服务面临勒索软件等威胁的风险,以及减少勒索软件或其他攻击对业务服务影响的措施。“哪种威胁最有可能影响业务,哪些财务风险和降低风险的选择,”他表示。“我们的网络风险差距有多大,比如降低风险和完全不作为的成本”
准备好回答事故响应计划的问题,以及你是否测试过对业务最有可能的潜在威胁。“我们应该做些什么来细分业务的各个部分,并控制访问权限?”Carson说。“我们超出了哪些法律法规和合规要求,满足了哪些要求,或者没有满足哪些要求,以及如何与业务网络风险保持一致?”
6. 持续合规
你需要准备好谈论持续的合规性和安全性,Gorge说。董事会成员经常问,投资网络安全能为公司赢得多少时间。“问题是,‘嗯,我们必须这样做一次,这会让我们在几年内保持良好,对吗?还是我们需要继续这样做?’”他说。
这就是为什么CISO安全与合规是一段旅程,而不是目的地,Gorge说。他们需要证明,随着业务的发展,对安全的需求也在发生变化。重要的是,安全领导人应该强调,他们需要继续投资于资本、时间和精力方面的网络安全。解释这些投资将如何降低成本,提高安全性,提高客户信心,以及在三到五年内会带来什么其他实际好处。
在网络问责和持续合规的双重背景下,CISO最大的挑战是展示网络安全将如何成为业务驱动因素,而不仅仅是成本,Gorge说。“与其说‘如果我们不这样做,就可能会发生安全事故’,展示你将如何利用现有的模型,以一种实际上可以增加价值的方式将网络安全纳入资产负债表。”