至少對于那些有著健康安全文化的企業(yè)而言，安全負責人與董事會高管之間的距離正在縮小。許多企業(yè)的高管已經(jīng)很大程度上的接受，他們需要了解網(wǎng)絡安全風險與企業(yè)經(jīng)營風險的關系，如何擔當治理責任，以及網(wǎng)絡風險如何從財務、名譽、法律、運營等層面影響企業(yè)。數(shù)字化業(yè)務的程度越高，網(wǎng)絡安全就會越成為影響競爭力、業(yè)務連續(xù)性、可靠性和信任度的關鍵問題。

網(wǎng)絡安全逐漸上升為董事會級別的討論內(nèi)容，這一趨勢已經(jīng)成為業(yè)界共識。但面對專業(yè)的網(wǎng)絡安全語境時，董事會高管往往難以理解這些術語或指標到底意味著什么。以下是讓董事會更好地理解網(wǎng)絡風險的三種匯報方式。

[[394940]]

1. 理解董事會的責任

與董事會建立有效的溝通，需要安全負責人從業(yè)務的角度出發(fā)，理解董事會的職責范圍和責任，以及技術如何驅(qū)動業(yè)務生態(tài)系統(tǒng)。同時，安全負責人要盡量爭取到企業(yè)風險管理人員的支持，因為在向董事會解釋網(wǎng)絡風險帶來的運營與戰(zhàn)略風險方面，風險管理人員所具備的知識最為匹配。

2. 用董事會熟悉的格式展示數(shù)據(jù)

通過數(shù)據(jù)顯示面板結(jié)合圖例用數(shù)據(jù)丟失、數(shù)據(jù)可靠性、系統(tǒng)可靠性等分類，對像關鍵性能、關鍵控制和關鍵風險等指標進行風險的展示。這種類型的數(shù)據(jù)可以幫助董事會在安全預算和新技術的部署方面做出合理的決策，也就是說要站在企業(yè)風險的角度來使用相關數(shù)據(jù)。

把一堆風險場景提供給董事會并沒有什么作用，但要是把這些場景用可量化的指標，按照優(yōu)先級順序并輔以高層比較熟悉的格式展現(xiàn)出來，效果就會有著很大的不同。董事會成員最熟悉管理財務指標，因此風險管理的指標越類似于財務報表和收入預測，作管理網(wǎng)絡安全風險的決策就越容易。

3. 了解你的基準

還有一種非常重要的匯報方式，就是借用友商的例子來構(gòu)建討論框架。強調(diào)入侵事件給競爭對手帶來的影響固然會抓住董事會的注意力，但更為重要的是要有實質(zhì)性的談話效果。如，企業(yè)在風險控制措施的成熟度上與友商的比對。如果兩者存在差距的話，需要采取何種措施來彌補差距。