數(shù)據(jù)泄露、勒索軟件攻擊加劇了企業(yè)董事會(huì)對(duì)網(wǎng)絡(luò)安全的關(guān)注。安全領(lǐng)導(dǎo)表示，董事會(huì)越來(lái)越多地參與到安全事務(wù)中，對(duì)網(wǎng)絡(luò)問(wèn)題有了更深刻的理解，并針對(duì)風(fēng)險(xiǎn)暴露和管理風(fēng)險(xiǎn)的方法提出了更復(fù)雜的問(wèn)題。

[[392454]]

盡管很多人仍然把安全看成是開展業(yè)務(wù)的一項(xiàng)成本，但越來(lái)越多的董事會(huì)成員將其視為業(yè)務(wù)的基礎(chǔ)。隨著眾多的企業(yè)加快了數(shù)字化轉(zhuǎn)型計(jì)劃，董事會(huì)想知道，在員工越來(lái)越分散的環(huán)境中，安全怎樣支持轉(zhuǎn)型舉措，滿足業(yè)務(wù)需求。

麥當(dāng)勞公司首席信息官Timothy Youngblood說(shuō)：“董事會(huì)越來(lái)越精于理解技術(shù)和安全問(wèn)題。”他說(shuō)：“這是因?yàn)樗麄冊(cè)谝欢ǔ潭壬鲜艿搅薙EC的影響，自己也期望董事會(huì)具備一定水平的技術(shù)專長(zhǎng)。”他們還得到了全國(guó)企業(yè)董事協(xié)會(huì)和其他機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的大量指導(dǎo)。

因此，董事會(huì)現(xiàn)在向安全領(lǐng)導(dǎo)們提出的問(wèn)題也發(fā)生了很大變化。據(jù)Youngblood等人的研究，以下列出了當(dāng)今董事會(huì)最關(guān)心的6個(gè)問(wèn)題。

1. 網(wǎng)絡(luò)問(wèn)責(zé)

風(fēng)險(xiǎn)管理公司VigiTrust的首席執(zhí)行官、新書《董事會(huì)里的網(wǎng)絡(luò)大象》的作者M(jìn)athieu Gorge指出，首席信息安全官應(yīng)做好更充分的準(zhǔn)備，以回答董事會(huì)有關(guān)網(wǎng)絡(luò)問(wèn)責(zé)的問(wèn)題。Gorge介紹說(shuō)，“網(wǎng)絡(luò)問(wèn)責(zé)”指的是一個(gè)部門有能力證明他們有良好的網(wǎng)絡(luò)環(huán)境，如果出了問(wèn)題，他們可以追溯所有問(wèn)題，定位到某個(gè)具體的事件、人或者群體。

首席信息安全官應(yīng)準(zhǔn)備好解釋什么是網(wǎng)絡(luò)問(wèn)責(zé)，企業(yè)為什么要關(guān)注它，怎樣開始網(wǎng)絡(luò)問(wèn)責(zé)之旅，以及它包括什么。Gorge說(shuō)：“這只是為了證明我們能夠應(yīng)對(duì)網(wǎng)絡(luò)攻擊，而且我們有相應(yīng)的計(jì)劃，還是不止于此?涉及到誰(shuí)，花費(fèi)多少，我們真的需要嗎?”

在闡明應(yīng)對(duì)措施時(shí)，安全領(lǐng)導(dǎo)們應(yīng)注意，董事會(huì)真正想聽到的是對(duì)企業(yè)整體生態(tài)系統(tǒng)的問(wèn)責(zé)。這意味著，除了他們自己的部門之外，安全領(lǐng)導(dǎo)們還應(yīng)該能夠描述他們?cè)鯓幼屘卦S經(jīng)營(yíng)商、子公司、業(yè)務(wù)合作伙伴、供應(yīng)商和其他第三方為實(shí)施安全最佳實(shí)踐負(fù)責(zé)。

這種生態(tài)系統(tǒng)可以是國(guó)際性的，由復(fù)雜而且往往相互沖突的條例和標(biāo)準(zhǔn)來(lái)監(jiān)管，所有這些都需要某種程度的問(wèn)責(zé)。首席信息安全官需要準(zhǔn)備好回答他們正在做什么，或者計(jì)劃做什么，以闡明自己的責(zé)任。“你是否能夠通過(guò)繪制生態(tài)系統(tǒng)圖來(lái)進(jìn)行展示，是否能夠使用顯示正在發(fā)生什么的控件來(lái)進(jìn)行展示，是否能夠闡明已經(jīng)對(duì)企業(yè)內(nèi)各個(gè)相關(guān)方的數(shù)據(jù)訪問(wèn)權(quán)限進(jìn)行了分類?”

2. 疫情及以后的安全態(tài)勢(shì)

商業(yè)支付服務(wù)公司Fleetcor的首席信息官James Edgar表示，疫情后人們轉(zhuǎn)向遠(yuǎn)程工作，從而導(dǎo)致董事會(huì)在網(wǎng)絡(luò)安全方面提出的問(wèn)題更加備受關(guān)注。

[[392455]]

從IT和整個(gè)業(yè)務(wù)部門的角度來(lái)看，很多直接關(guān)注的焦點(diǎn)都集中在轉(zhuǎn)向遠(yuǎn)程工作將怎樣影響業(yè)務(wù)運(yùn)營(yíng)方式上。這些問(wèn)題涉及到企業(yè)是否有能力將大多數(shù)員工轉(zhuǎn)移到遠(yuǎn)程工作模式，并且仍然能夠?yàn)闃I(yè)務(wù)提供支持。

Edgar說(shuō)，他從董事會(huì)收到的問(wèn)題包括與業(yè)務(wù)連續(xù)性有關(guān)的問(wèn)題，以及疫情來(lái)襲時(shí)對(duì)已經(jīng)開始實(shí)施的主要IT項(xiàng)目會(huì)有什么影響等。“我們還能把我們最為重要的大事做好嗎?我們是否能維持當(dāng)前的安全以及合規(guī)級(jí)別?我們的基準(zhǔn)是什么，當(dāng)我們走出新冠疫情時(shí)，我們還能達(dá)到這些標(biāo)準(zhǔn)嗎?”

隨著事態(tài)的穩(wěn)定，重點(diǎn)已經(jīng)轉(zhuǎn)移到企業(yè)在后疫情世界中維持其安全態(tài)勢(shì)的能力，以及將采取何種投資方式來(lái)實(shí)現(xiàn)這種能力。Edgar說(shuō)，對(duì)他來(lái)說(shuō)行之有效的一種策略是，每季度向董事會(huì)提供關(guān)于安全領(lǐng)域威脅形勢(shì)和重要趨勢(shì)的最新信息。他介紹說(shuō)：“我們定期向他們提供我們?cè)诶账鬈浖⒍它c(diǎn)保護(hù)、網(wǎng)絡(luò)監(jiān)控方面所看到的情況以及我們所做工作的最新信息。在安全問(wèn)題上，我們Fleetcor不能獨(dú)善其身，而是放眼世界，兼濟(jì)天下。”

3. 安全策略

Youngblood說(shuō)，與幾年前相比，董事會(huì)對(duì)網(wǎng)絡(luò)安全的思考更具戰(zhàn)略性。很多董事將網(wǎng)絡(luò)安全視為自己的本職工作，也是應(yīng)盡的責(zé)任和忠誠(chéng)義務(wù)。

Youngblood說(shuō)：“你今天遇到的問(wèn)題是，怎樣處理那些不受控制的事情，比如第三方的。”如今有這么多的外包業(yè)務(wù)，董事們想聽聽企業(yè)網(wǎng)絡(luò)安全投資是怎樣受到保護(hù)的。他們想了解企業(yè)從中得到了什么，以及是否有影響業(yè)務(wù)目標(biāo)的因素。

Youngblood說(shuō)，董事會(huì)喜歡聽到企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)事件的準(zhǔn)備情況，以及在威脅成為重大問(wèn)題之前是否有控制措施檢測(cè)到威脅。他們想知道，網(wǎng)絡(luò)安全是否與數(shù)字轉(zhuǎn)型鏈緊密相連，安全是否被內(nèi)置到每一個(gè)步驟中，而不是最后才加上去。他說(shuō)，值得注意的是，董事會(huì)越來(lái)越想了解企業(yè)還沒有進(jìn)行但可能對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)產(chǎn)生不利影響的投資。

回答這些問(wèn)題會(huì)很棘手，因此，讓首席信息官、首席產(chǎn)品官和其他相關(guān)方在董事會(huì)會(huì)議上也暢所欲言是不錯(cuò)的主意。他說(shuō)，在與董事會(huì)討論戰(zhàn)略安全問(wèn)題時(shí)，你的發(fā)言一定不要讓首席信息官感到意外。了解董事會(huì)的風(fēng)險(xiǎn)偏好，確保將網(wǎng)絡(luò)風(fēng)險(xiǎn)置于企業(yè)風(fēng)險(xiǎn)管理的范圍內(nèi)。

Youngblood說(shuō)：“我推薦的方法是從談?wù)摌I(yè)務(wù)和業(yè)務(wù)成果開始。我不會(huì)以非常策略性的方式進(jìn)行談話。”

4. 對(duì)照行業(yè)最佳實(shí)踐進(jìn)行基準(zhǔn)測(cè)試

云服務(wù)提供商N(yùn)etenrich的首席信息官Brandon Hoffman指出，董事會(huì)對(duì)他們企業(yè)的安全狀況與同行相比有多好或多差非常感興趣。其中一個(gè)原因可能是，在出現(xiàn)泄露事件時(shí)，企業(yè)的安全措施往往會(huì)與行業(yè)最佳實(shí)踐或同行采用的做法進(jìn)行比較。

Hoffman說(shuō)：“最高層對(duì)了解與行業(yè)相關(guān)的風(fēng)險(xiǎn)有著濃厚的興趣。”這種比較本身往往對(duì)營(yíng)造更安全、風(fēng)險(xiǎn)更小的環(huán)境沒有多大作用。即便如此，很多董事還是希望這樣做，因?yàn)樵跇I(yè)務(wù)環(huán)境中，有效衡量安全性的方法很少。

[[392456]]

Hoffman說(shuō)：“首席信息安全官犯的最大錯(cuò)誤之一是沒有將安全相關(guān)風(fēng)險(xiǎn)與業(yè)務(wù)風(fēng)險(xiǎn)聯(lián)系起來(lái)。相反，報(bào)告往往圍繞著合規(guī)框架和技術(shù)度量展開，這些充其量只是日常工作的指標(biāo)。這確實(shí)無(wú)助于高管或者董事會(huì)理解對(duì)業(yè)務(wù)的影響。”

5. 抵御網(wǎng)絡(luò)攻擊

董事會(huì)不僅在戰(zhàn)略和企業(yè)風(fēng)險(xiǎn)管理層面上對(duì)網(wǎng)絡(luò)安全越來(lái)越感興趣，而且他們?nèi)匀簧钊雲(yún)⑴c與企業(yè)抵御和應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力相關(guān)的工作。Thycotic首席信息安全官顧問(wèn)兼首席安全科學(xué)家Joseph Carson評(píng)論說(shuō)，他們想知道你是如何使用人員、流程和技術(shù)來(lái)盡可能降低風(fēng)險(xiǎn)的，同時(shí)還要在工作效率和安全性之間保持適當(dāng)?shù)钠胶狻?/p>

董事會(huì)可能會(huì)問(wèn)及，首席信息安全官需要準(zhǔn)備解釋的問(wèn)題包括：關(guān)鍵業(yè)務(wù)服務(wù)暴露給勒索軟件等威脅的風(fēng)險(xiǎn)，以及為降低勒索軟件或其他攻擊對(duì)業(yè)務(wù)服務(wù)的影響而采取的措施等。他說(shuō)：“哪種威脅最有可能影響業(yè)務(wù)，以及有哪些財(cái)務(wù)風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)有哪些選擇。我們的網(wǎng)絡(luò)風(fēng)險(xiǎn)差距有多大，比如降低風(fēng)險(xiǎn)的成本與不采取任何措施的成本相比如何?”

準(zhǔn)備好回答有關(guān)事件響應(yīng)計(jì)劃的問(wèn)題，以及你是否已針對(duì)極有可能嚴(yán)重影響業(yè)務(wù)的每一種威脅進(jìn)行了測(cè)試。Carson說(shuō)：“我們應(yīng)采取什么措施來(lái)細(xì)分業(yè)務(wù)的各個(gè)部分并控制訪問(wèn)權(quán)限?我們超越了哪些法規(guī)和合規(guī)要求，滿足了哪些，未能滿足哪些，以及這些法規(guī)和合規(guī)要求怎樣與業(yè)務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)相適應(yīng)?”

6. 持續(xù)合規(guī)

Gorge說(shuō)，應(yīng)準(zhǔn)備好討論持續(xù)合規(guī)和持續(xù)安全性。董事會(huì)成員往往會(huì)問(wèn)，在網(wǎng)絡(luò)安全方面的投資需要多長(zhǎng)時(shí)間才能讓公司得到回報(bào)。他說(shuō)：“人們會(huì)問(wèn)，'好吧，我們就這么試一次，那么今后好幾年都會(huì)保持得不錯(cuò)，對(duì)嗎?還是需要我們持續(xù)的投入?”

Gorge說(shuō)，在此，首席信息安全官和其他安全領(lǐng)導(dǎo)們應(yīng)引入這樣一種理念：安全與合規(guī)是一個(gè)過(guò)程，而不是終點(diǎn)。他們應(yīng)闡明，隨著業(yè)務(wù)的發(fā)展，安全需求也在不斷變化。重要的是，安全領(lǐng)導(dǎo)們要強(qiáng)調(diào)在網(wǎng)絡(luò)安全方面持續(xù)投資的必要性，包括資金、時(shí)間和精力等。解釋在3~5年的時(shí)間里，這些投資將怎樣降低成本、提高安全性、增強(qiáng)客戶信心并帶來(lái)其他切實(shí)的好處。

Gorge說(shuō)：“在網(wǎng)絡(luò)問(wèn)責(zé)和持續(xù)合規(guī)的雙重背景下，首席信息安全官面臨的最大挑戰(zhàn)是展示網(wǎng)絡(luò)安全怎樣成為一種業(yè)務(wù)推動(dòng)因素，而不僅僅是花錢。與其說(shuō)‘如果我們不這么做，可能會(huì)發(fā)生安全事故’，不如展示一下怎樣利用現(xiàn)有的模式，一種真正增加價(jià)值的方式，將網(wǎng)絡(luò)安全納入資產(chǎn)負(fù)債表。”