網(wǎng)絡(luò)安全是董事會(huì)最關(guān)心的問題之一。實(shí)際上，在全美企業(yè)董事協(xié)會(huì)(National Association of Corporate Directors)調(diào)查的近500名企業(yè)領(lǐng)導(dǎo)中，有42%的人將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)列為他們面臨的五大最緊迫問題之一，僅次于監(jiān)管環(huán)境的變化和經(jīng)濟(jì)發(fā)展減速。

[[261857]]

因此，安全管理人員頻繁向董事會(huì)匯報(bào)他們面臨的風(fēng)險(xiǎn)以及減輕風(fēng)險(xiǎn)的策略。然而，很多董事會(huì)成員發(fā)現(xiàn)，他們沒有從首席信息安全官那里獲得所需的信息。

管理咨詢公司麥肯錫(McKinsey & Co.)高級(jí)合伙人David Chinn表示：

首席信息安全官在向董事會(huì)傳達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，應(yīng)該遵循一些最優(yōu)做法并避免常見錯(cuò)誤。

1. 充分做好準(zhǔn)備工作

高官們應(yīng)該在進(jìn)行匯報(bào)前幾周，將準(zhǔn)備好的書面報(bào)告上交給董事會(huì)成員。一些人認(rèn)為提前做好準(zhǔn)備工作就足夠了，但有經(jīng)驗(yàn)的高管和領(lǐng)導(dǎo)顧問表示，首席信息安全官們(特別是是那些在董事會(huì)開始之前時(shí)間有限的人)需要更專注于準(zhǔn)備工作，甚至去接受特定的培訓(xùn)。

Hayslip在向新董事會(huì)進(jìn)行第一次匯報(bào)之前，請(qǐng)求他的首席財(cái)務(wù)官幫自己聯(lián)系一位愿意幫助他準(zhǔn)備這次匯報(bào)的高管。他表示：如果我要向董事會(huì)做報(bào)告，而我從來沒有和他們交談過，我可不想走進(jìn)冰冷的董事會(huì)。我不知道他們會(huì)問什么樣的問題，我不知道他們想要了解什么。所以我和同事進(jìn)行了溝通，詢問其他已經(jīng)在董事會(huì)面前進(jìn)行匯報(bào)并得到反饋的其他高官們——都有誰在那里，他們是什么樣人，他們會(huì)問什么樣的問題——然后我就能知道我將要向誰進(jìn)行報(bào)告，他們希望怎樣的數(shù)據(jù)呈現(xiàn)方式了。

2. 提供一份評(píng)估報(bào)告

Hayslip表示準(zhǔn)備工作以及他后來向董事會(huì)進(jìn)行報(bào)告的經(jīng)歷，讓他明白了一些董事們想知道的內(nèi)容，即對(duì)公司網(wǎng)絡(luò)安全狀況的一份評(píng)估以及需要如何進(jìn)行改進(jìn)。

3. 保持透明性

專家表示，評(píng)估報(bào)告不應(yīng)該模糊企業(yè)面臨的風(fēng)險(xiǎn)，因此首席信息安全官應(yīng)該提前，并以直接，易懂的方式提供相關(guān)信息。

Chinn表示：很多組織機(jī)構(gòu)都有一個(gè)威脅情報(bào)部門，他們會(huì)為董事會(huì)收集這些信息，讓董事會(huì)成員覺得他們已經(jīng)了解相關(guān)信息了。董事會(huì)成員想知道企業(yè)風(fēng)險(xiǎn)、這種風(fēng)險(xiǎn)帶來的商業(yè)影響、他們的投資在多大程度已經(jīng)轉(zhuǎn)化為控制，以及這些投資是否有效降低了風(fēng)險(xiǎn)。

他舉了一個(gè)很好的例子，來說明如何提供這樣的信息：在一個(gè)組織機(jī)構(gòu)中，首席信息安全官開發(fā)了一個(gè)自助應(yīng)用程序，董事會(huì)成員可以根據(jù)需要使用該應(yīng)用程序訪問相關(guān)信息。

4. 準(zhǔn)備應(yīng)對(duì)(棘手的)問題

會(huì)議室可不是讓人驚喜的地方。因此，IT治理協(xié)會(huì)ISACA的董事會(huì)主席Rob Clyde建議，首席信息安全官們應(yīng)該預(yù)測(cè)董事會(huì)成員可能提出的問題——尤其是那些最難回答的問題，比如 “我們的安全性有多好?” 和 “我們安全嗎?”。

Clyde表示，首席信息安全官們通常很難恰如其分地回答這種類型的問題，因此在匆忙回答間往往會(huì)給出不充分或令人困惑的答案。

他建議首席信息安全官們提前考慮，并制定應(yīng)對(duì)措施。他還建議首席信息安全官使用網(wǎng)絡(luò)安全成熟度模型，比如ISACA的CMMI研究所提供的模型，對(duì)這些棘手的問題給出清晰、有意義的回答。

同時(shí)，他表示首席信息安全官不應(yīng)該讓董事會(huì)、其他高管和首席執(zhí)行長(zhǎng)對(duì)此類問題的回答感到意外。Clyse表示，首席信息安全官應(yīng)該與他們的首席執(zhí)行官分享他們對(duì)這些問題的回答;事實(shí)上，首席信息安全官應(yīng)該確保首席執(zhí)行官了解他們將要報(bào)告的任何內(nèi)容，這樣他們就不會(huì)將首席執(zhí)行官置于任何尷尬的境地。

5. 誠(chéng)實(shí)面對(duì)劣勢(shì)

與此相關(guān)的是，經(jīng)驗(yàn)豐富的高管們表示，在回答有關(guān)組織風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全形勢(shì)的問題時(shí)，首席信息安全官應(yīng)該實(shí)事求是，即使他們擔(dān)心自己的回答可能會(huì)讓自己看起來效率低下。Clyde表示：有些董事會(huì)問，“我們是100%安全的嗎?”，你絕不應(yīng)該給出肯定的答案，或者提供毫無根據(jù)的保證，給出模糊的答案。

6. 但也不要嚇到董事會(huì)

首席信息安全官看到網(wǎng)絡(luò)安全攻擊的規(guī)模不斷增加，且日益復(fù)雜，因此他們?cè)谙蚨聲?huì)解釋應(yīng)對(duì)這些威脅所需的資源時(shí)，與董事會(huì)共享這些信息也就不足為奇了。

他表示，董事會(huì)當(dāng)然需要數(shù)據(jù)，但他們需要能夠讓他們做出明智的決定的信息，以決定把安全投資放在什么地方，最大限度地降低風(fēng)險(xiǎn)。

7. 獲得一位支持者

James Carder，安全解決方案公司LogRhythm的首席信息安全官，同一名擁有技術(shù)背景的董事會(huì)成員建立了聯(lián)系，并找他作為導(dǎo)師，幫助他準(zhǔn)備董事會(huì)會(huì)議、審查提交給董事會(huì)的材料，并代表他支持安全策略。

他建議其他首席信息安全官也這么做。

8. 開門見山

首席信息安全官們已經(jīng)習(xí)慣了在會(huì)議上做報(bào)告，他們通常在談及主旨前，會(huì)進(jìn)行一些鋪墊，但這種方法不適用于那些珍惜時(shí)間的董事會(huì)成員。

Clyde表示，不要保留重點(diǎn)，要從一開始就說到點(diǎn)子上。董事會(huì)想提前知道你為什么在那里。如果董事會(huì)需要采取行動(dòng)——例如，他們需要考慮購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)，或者制定一項(xiàng)政策，決定在發(fā)生勒索病毒攻擊時(shí)，是否支付贖金——那么首先要和董事會(huì)提前確認(rèn)這些。

他表示，首席信息安全官可以在時(shí)間允許的情況下提供輔助信息，意識(shí)到董事會(huì)成員可以在會(huì)議前提交的書面材料中找到任何必要的信息。

9. 省略技術(shù)環(huán)節(jié)

Carder談到，他曾經(jīng)把自己的安全工作過多地傳達(dá)給董事會(huì)。當(dāng)董事會(huì)成員不得不多次打斷他的陳述，詢問他使用的術(shù)語和他所描述的概念的時(shí)候，他知道自己犯了一個(gè)錯(cuò)誤。

Carder現(xiàn)在更有意識(shí)的從他的匯報(bào)中省略復(fù)雜的技術(shù)內(nèi)容;沒有關(guān)于最新的漏洞或最新的數(shù)據(jù)丟失防御技術(shù)的詳細(xì)信息，也沒有SIEM供應(yīng)商選項(xiàng)或入侵監(jiān)測(cè)產(chǎn)品的信息。相反，他將對(duì)話重點(diǎn)放在圍繞安全性的提煉觀點(diǎn)上，并以簡(jiǎn)單的業(yè)務(wù)術(shù)語展示相關(guān)信息。

10. 展示業(yè)務(wù)價(jià)值

很多首席信息安全官在計(jì)算安全投資的業(yè)務(wù)的投資回報(bào)率(ROI)時(shí)遇到了困難，但是董事會(huì)想知道的是他們的安全風(fēng)險(xiǎn)和投資對(duì)業(yè)務(wù)的影響。

這就是Hayslip的目標(biāo)。他表示：自己展示了項(xiàng)目如何影響賺錢的團(tuán)隊(duì)，這就表明項(xiàng)目正在幫助公司做該做的事情。

他曾在一家公司工作，該公司每月大約有50臺(tái)電腦因?yàn)閻阂廛浖戮€，所以他投資了一些技術(shù)來降低每月的平均下線率。當(dāng)他走到董事會(huì)之前，Hayslip并沒有關(guān)注新技術(shù)的成本，而是關(guān)注降低修復(fù)成本和減少宕機(jī)時(shí)間為組織機(jī)構(gòu)帶來的投資價(jià)值。

11. 確定衡量成功的標(biāo)準(zhǔn)

Chinn表示，首席信息安全官們應(yīng)該反思他們是否充分地向董事會(huì)傳達(dá)了信息。因?yàn)槭欠癯浞趾投聲?huì)溝通了安全策略對(duì)業(yè)務(wù)的影響，關(guān)乎著他們的安全策略將獲得多少支持和資金。

Chinn認(rèn)識(shí)一位首席信息安全官，當(dāng)公司數(shù)據(jù)泄露成為新聞時(shí)，他會(huì)通過董事會(huì)成員的反應(yīng)來判斷自己在這一方面做的是否成功。

他表示當(dāng)發(fā)生信息泄露事件后，董事會(huì)成員提出明智的問題或根本不提問題時(shí)，他就知道自己在向董事會(huì)報(bào)告方面工作做的很好。因?yàn)檫@表明他們信任身為首席信息安全官的他。

12. 把握好機(jī)會(huì)

Clyde表示，首席信息安全官們應(yīng)該向全體董事會(huì)報(bào)告，并指出很多首席信息安全官不是向全體董事會(huì)報(bào)告，而是向?qū)徲?jì)和風(fēng)險(xiǎn)委員會(huì)報(bào)告。如果會(huì)議還沒有進(jìn)入董事會(huì)的議程，他們應(yīng)該主動(dòng)采取行動(dòng)。

此外，首席信息安全官應(yīng)該將他們?cè)诙聲?huì)面前的時(shí)間當(dāng)做一個(gè)機(jī)會(huì)，宣傳強(qiáng)大的網(wǎng)絡(luò)安全項(xiàng)目的重要性，并強(qiáng)調(diào)其所在組織機(jī)構(gòu)網(wǎng)絡(luò)安全功能的優(yōu)勢(shì)、差距和戰(zhàn)略。Clyde表示，ISACA建議首席信息安全官至少每年應(yīng)該和董事會(huì)召開一次會(huì)議。

全美企業(yè)董事協(xié)會(huì)調(diào)查報(bào)告地址：

https://www.nacdonline.org/analytics/survey.cfm?ItemNumber=64105

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文