行業(yè)專家指出，企業(yè)高管和董事會(huì)成員在面臨安全威脅時(shí)需要將更多的精力放在網(wǎng)絡(luò)安全上。首席信息安全官(CISO)需要通過SolarWinds安全事件這樣的危機(jī)將安全性轉(zhuǎn)化為業(yè)務(wù)策略。

Abacus公司首席信息安全官Bill Brown指出，像SolarWinds這樣引人注目的網(wǎng)絡(luò)安全漏洞事件應(yīng)該引起企業(yè)高管和董事會(huì)成員的關(guān)注。他曾擔(dān)任三家公司的信息安全負(fù)責(zé)人，他表示任何公司的企業(yè)高管通常在聽說出現(xiàn)最新的安全漏洞后，都會(huì)打電話給他以尋求安全保證。他們會(huì)說，“這種事件會(huì)發(fā)生在我們公司嗎?我們應(yīng)該如何應(yīng)對(duì)?”

他說，但是現(xiàn)在許多董事會(huì)成員對(duì)此無動(dòng)于衷。

[[387874]]

SANS研究所新興安全趨勢(shì)負(fù)責(zé)人John Pescatore表示，雖然SolarWinds安全漏洞事件成為了頭條新聞，但需要考慮對(duì)企業(yè)業(yè)務(wù)帶來的其他影響，例如冠狀病毒疫情。他說，“對(duì)企業(yè)董事會(huì)來說，網(wǎng)絡(luò)安全是他們承擔(dān)責(zé)任所涉及的眾多風(fēng)險(xiǎn)之一，而對(duì)于大多數(shù)公司而言，這并不是最大的風(fēng)險(xiǎn)。”

在Trend Micro公司和Enterprise Strategy集團(tuán)最近進(jìn)行的一項(xiàng)調(diào)查中，約有85%的安全負(fù)責(zé)人表示，與兩年前相比，企業(yè)董事會(huì)在安全決策和戰(zhàn)略方面的參與度更高。但是，由于重大泄露事件、新的合規(guī)性要求或業(yè)務(wù)信息安全官(BISO)的安全計(jì)劃，這些高管才會(huì)關(guān)注。

該報(bào)告建議，企業(yè)需要增加業(yè)務(wù)信息安全官(BISO)的職位以改善業(yè)務(wù)安全一致性，其職責(zé)是建立自上而下的可衡量項(xiàng)目，并更改報(bào)告結(jié)構(gòu)，以便首席信息安全官(CISO)直接向企業(yè)首席執(zhí)行官報(bào)告。歸根結(jié)底，首席信息安全官(CISO)有責(zé)任與企業(yè)高管和董事會(huì)建立密切關(guān)系，并與他們進(jìn)行定期對(duì)話。

為了保持發(fā)展勢(shì)頭，首席信息安全官(CISO)必須以業(yè)務(wù)術(shù)語提供穩(wěn)定的信息流，并以風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全戰(zhàn)略的形式(不僅是技術(shù)解決方案)讓企業(yè)董事會(huì)保持關(guān)注。安全主管和分析師提供了一些技巧、工具和框架，以幫助將安全性轉(zhuǎn)化為策略并確保網(wǎng)絡(luò)安全。

1. 與商業(yè)模式相匹配

SANS公司安全意識(shí)總監(jiān)Lance Spitzner說，“首席信息安全官(CISO)必須具有周全的策略，并且有戰(zhàn)略業(yè)務(wù)工具才能做到這一點(diǎn)。”SANS公司為安全領(lǐng)導(dǎo)者提供了為期五天的類似“MBA”課程，以了解企業(yè)高管和董事會(huì)用來衡量風(fēng)險(xiǎn)和制定策略的業(yè)務(wù)模型和框架。首席信息安全官(CISO)可以研究PEST模型、SWOT分析、平衡計(jì)分卡，或如何將能力成熟度模型集成(CMMI)模型與NIST網(wǎng)絡(luò)安全框架相結(jié)合，以向企業(yè)董事會(huì)成員傳達(dá)其不同戰(zhàn)略安全計(jì)劃的成熟度。

Spitzner指出，首席信息安全官(CISO)不必了解所有這些模型，只需了解對(duì)企業(yè)董事會(huì)至關(guān)重要的模型即可。他們需要與企業(yè)董事會(huì)成員交談，并詢問他們?cè)诙聲?huì)會(huì)議中使用哪種類型的模型。

一些行業(yè)特定的安全框架也促進(jìn)了企業(yè)董事會(huì)的討論。 Abacus公司最近完成了HITRUST認(rèn)證，這是醫(yī)療保健領(lǐng)域的一個(gè)通用安全框架，處理受保護(hù)的健康信息的組織經(jīng)常需要此框架。Brown表示，這些認(rèn)證使企業(yè)的安全活動(dòng)更加結(jié)構(gòu)化，其中包括與董事會(huì)成員溝通方面的要求。其中一些控制措施包括與執(zhí)行團(tuán)隊(duì)進(jìn)行定期對(duì)話，討論他們?cè)诒Ｗo(hù)資產(chǎn)方面的角色以及業(yè)務(wù)合作伙伴的角色，其責(zé)任與首席信息安全官(CISO)相同。

數(shù)據(jù)可視化工具還可以幫助首席信息安全官(CISO)更好地將網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)化為業(yè)務(wù)影響。Brown為Abacus公司創(chuàng)建了一個(gè)季度熱圖圖表，該圖表使用顏色表示表中的數(shù)據(jù)值，從綠色的低概率、低影響問題到紅色的高概率、高影響問題。數(shù)據(jù)值顯示了已確定的潛在風(fēng)險(xiǎn)，在Abacus公司發(fā)生的每種可能性以及發(fā)生的影響，其中包括對(duì)客戶、對(duì)業(yè)務(wù)的看法以及與供應(yīng)商和合作伙伴的關(guān)系的影響。他的團(tuán)隊(duì)定期監(jiān)視和更新此數(shù)據(jù)。

Brown說：“企業(yè)董事會(huì)期待看到自從上個(gè)季度以來熱圖的變化。如果某個(gè)事件具有高潛力、高影響力，可以討論安全團(tuán)隊(duì)正在做些什么，以使它們的可能性或影響力降低。”

2. 以競(jìng)爭(zhēng)對(duì)手為基準(zhǔn)進(jìn)行衡量

Pescatore說，企業(yè)董事們和高管們希望首席信息安全官以競(jìng)爭(zhēng)對(duì)手為基準(zhǔn)衡量自己的工作，這類似于首席財(cái)務(wù)官和首席運(yùn)營(yíng)官向企業(yè)董事會(huì)展示的內(nèi)容。他說：“企業(yè)董事會(huì)成員希望聽到，在安全計(jì)劃或保護(hù)供應(yīng)鏈方面，是比競(jìng)爭(zhēng)對(duì)手更差還是更好?但通常很難做到這一點(diǎn)。”他指出，但是有很多資源可以提供幫助。美國(guó)信息共享和分析中心委員會(huì)是一個(gè)針對(duì)特定行業(yè)的組織，主要負(fù)責(zé)收集和共享有關(guān)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅的信息。

美國(guó)信息共享和分析中心(ISAC)還促進(jìn)了公共部門和私營(yíng)部門團(tuán)體之間的數(shù)據(jù)共享。該中心列出了24個(gè)行業(yè)作為參與成員，其中包括醫(yī)療保健、零售、酒店、金融服務(wù)、媒體以及石油和天然氣。Pescatore說：“人們有能力團(tuán)結(jié)起來應(yīng)對(duì)這種情況，只是沒有被充分放大。”

3. 利用立法的推動(dòng)

SolarWinds對(duì)美國(guó)政府機(jī)構(gòu)的攻擊使新的行政管理著眼于強(qiáng)化美國(guó)的網(wǎng)絡(luò)安全防御。美國(guó)聯(lián)邦隱私立法的要求也在不斷提高，近年來提出的一些法案可能最終會(huì)受到關(guān)注。這是一個(gè)熱門話題，美國(guó)國(guó)會(huì)需要對(duì)新的聯(lián)邦法律可以取代已經(jīng)生效的州立法達(dá)成共識(shí)。

例如，《加利福尼亞州隱私權(quán)和執(zhí)行法》(CPRA)于去年11月通過，將于2023年1月1日全面生效。該法律要求該州總收入超過2500萬美元的企業(yè)必須提供合理的網(wǎng)絡(luò)安全保護(hù)措施，提交年度網(wǎng)絡(luò)安全審核，向新成立的加利福尼亞隱私保護(hù)局提交風(fēng)險(xiǎn)評(píng)估的監(jiān)管文件，并要求合同條款和其他保護(hù)措施來解決供應(yīng)鏈安全和隱私風(fēng)險(xiǎn)。美國(guó)其他八個(gè)州也有類似版本的隱私法規(guī)。

分析師表示，首席信息安全官(CISO)應(yīng)將其關(guān)注點(diǎn)放在新法規(guī)上，以分享積極的網(wǎng)絡(luò)安全措施和投資如何使企業(yè)達(dá)到合規(guī)性。

4. 建立良好的人際關(guān)系

分析師指出，首席信息安全官(CISO)不僅需要隨時(shí)征求信息請(qǐng)求或召開季度會(huì)議，還需要與高管和董事會(huì)建立和培養(yǎng)關(guān)系?！度駽ISO的戰(zhàn)略與策略和領(lǐng)導(dǎo)力》一書的作者M(jìn)ichael Oberlaender表示：“應(yīng)該始終保持開放的溝通，而不僅僅是在重大危機(jī)期間，這是核心問題，否則安全就會(huì)被忽視。”

Brown說，“建設(shè)良好的人際關(guān)系可以獲得盟友的幫助。一旦發(fā)生不幸的事情，那么已經(jīng)擁有了這種關(guān)系，所有人可以一起解決問題而不是相互指責(zé)。”