在本次訪談中，PlanSource的CISO David Christensen提出了一些策略，以幫助董事會理解和認知網(wǎng)絡安全風險管理、戰(zhàn)略和治理對企業(yè)的更廣泛影響。

采訪摘錄

董事會成員和CISO對網(wǎng)絡攻擊風險的看法往往不一致。在你看來，造成這種差異的主要原因是什么?

立場不同是董事會成員和CISO并不總是一致的根本原因。董事會成員通常對企業(yè)的目標、戰(zhàn)略和整體風險前景有更廣泛的看法;CISO則負責評估和緩解網(wǎng)絡安全風險。這些立場上的差異導致了不同的優(yōu)先事項和風險評估。然而，當董事會成員和CISO對網(wǎng)絡攻擊風險的看法不一致時，通常是由于董事會成員缺乏網(wǎng)絡安全專業(yè)知識，無法理解主題的復雜性以及CISO在與董事會討論時過于關(guān)注技術(shù)語言造成的。

向董事會傳達網(wǎng)絡風險要求CISO理解聽眾，將技術(shù)術(shù)語翻譯成業(yè)務語言，使董事會將CISO視為戰(zhàn)略合作伙伴。成為戰(zhàn)略合作伙伴還需要CISO從投資回報率的角度來看待他們的網(wǎng)絡安全投資，以幫助董事會了解投資與優(yōu)先級和支出的重要性。

CISO還需要了解，董事會成員的決策時間通常較短，他們更關(guān)注季度或年度業(yè)績，而CISO則更關(guān)注網(wǎng)絡攻擊的潛在長期影響，并倡導采取積極措施。這種時間范圍的不一致可能導致風險認知的差異。

CISO如何有效地將技術(shù)術(shù)語翻譯成董事會成員能夠理解和參與的業(yè)務語言?你有什么具體的策略或方法嗎?

CISO需要了解董事會成員的知識和背景，以便能夠?qū)⒓夹g(shù)術(shù)語翻譯成業(yè)務語言和目標受眾熟悉的內(nèi)容。以我自身為例，我通過將技術(shù)術(shù)語與日常情況或業(yè)務場景聯(lián)系起來，讓董事會更容易掌握。

為了有效地進行這種溝通，我還會與技術(shù)團隊之外的其他業(yè)務領導合作，以優(yōu)化業(yè)務一致性。專注于網(wǎng)絡安全風險的潛在業(yè)務影響，還可以讓CISO根據(jù)其后果(如財務損失或?qū)酒放频膿p害)來構(gòu)建技術(shù)問題。

同樣重要的是，要簡明扼要，避免過度夸大網(wǎng)絡風險，同時仍要專注于你要求董事會權(quán)衡的戰(zhàn)略目標。為了彌合董事會成員和CISO之間的缺口，CISO必須加強溝通，對董事會成員進行網(wǎng)絡安全風險教育，并促進協(xié)作決策方法。

許多董事會仍將網(wǎng)絡安全視為純粹的技術(shù)問題。他們可以采用什么策略來理解和認知網(wǎng)絡安全對企業(yè)和戰(zhàn)略的更廣泛影響?

為了讓董事會更好地理解和認知網(wǎng)絡安全對企業(yè)和戰(zhàn)略的廣泛影響，需要改變對網(wǎng)絡風險的看法和處理方式。董事會可以從克服普遍存在的CISO與董事會之間的“脫節(jié)”開始，在董事會會議之外與CISO建立直接的戰(zhàn)略關(guān)系。董事會還應該把更多的時間花在網(wǎng)絡安全話題上，并允許CISO向董事會傳達風險，而不僅僅是幾張季度幻燈片。網(wǎng)絡安全專業(yè)知識也需要成為董事會組成的一部分，囊括兼具業(yè)務和網(wǎng)絡經(jīng)驗的董事。

你如何看待美國證券交易委員會提出的修正案會改變董事會處理網(wǎng)絡安全風險管理、戰(zhàn)略和治理的方式?

當美國證券交易委員會提出的修正案成為現(xiàn)實時，我預計董事會將更加關(guān)注網(wǎng)絡安全問題。希望這些變化能夠引導董事會在受到事件影響之前投入更多的資源、時間和專業(yè)知識來評估、管理和緩解網(wǎng)絡安全風險。

我預計，這將導致董事會建立或加強與網(wǎng)絡安全相關(guān)的治理結(jié)構(gòu)，從而為網(wǎng)絡安全監(jiān)督定義明確的角色和責任，并最終在董事會層面出現(xiàn)網(wǎng)絡安全專業(yè)人士。這些修正案還將鼓勵董事會將網(wǎng)絡安全考慮納入其整體業(yè)務戰(zhàn)略。

在你看來，董事會成員可以采取哪些具體措施來提高他們對網(wǎng)絡安全風險的理解，并評估有效管理這些風險的計劃?

董事會成員應該積極學習網(wǎng)絡安全知識，參加培訓、研討會和會議，以幫助他們了解新出現(xiàn)的威脅和最新趨勢。董事會還應建立一個專門的網(wǎng)絡安全委員會，由具有相關(guān)專業(yè)知識的成員組成，以幫助評估和監(jiān)督企業(yè)內(nèi)的網(wǎng)絡安全舉措。

董事會還應與網(wǎng)絡安全專家和顧問接觸，以深入了解其企業(yè)面臨的具體風險和挑戰(zhàn)。此外，董事會應要求其企業(yè)定期進行風險評估，并審查網(wǎng)絡安全報告，這將提供有關(guān)企業(yè)網(wǎng)絡安全態(tài)勢的概述。