7月26日，美國證券交易委員會最終確定了新的網(wǎng)絡(luò)安全法規(guī)，要求上市公司在四天內(nèi)披露網(wǎng)絡(luò)安全漏洞，并提高其董事會的網(wǎng)絡(luò)專業(yè)知識水平，以及對管理和評估網(wǎng)絡(luò)風(fēng)險的監(jiān)督。該機構(gòu)于2022年提出了這些規(guī)定，最終決定預(yù)計將于2023年10月做出。

隨著企業(yè)大規(guī)模投資數(shù)字化轉(zhuǎn)型，CISO現(xiàn)在比以往任何時候都更應(yīng)該做好準備，來鼓勵其他領(lǐng)導(dǎo)者參與管理和解決網(wǎng)絡(luò)風(fēng)險。

尋找最新最好的技術(shù)

數(shù)字化企業(yè)世界的激烈競爭促使企業(yè)領(lǐng)導(dǎo)者不斷尋找最新、最偉大的創(chuàng)新技術(shù)，以助力他們脫穎而出。

這些技術(shù)在不同的計算時代呈指數(shù)級發(fā)展。它始于集中式大型機，然后在20世紀90年代過渡到微型計算機和個人電腦。然后是互聯(lián)網(wǎng)時代，再之后是2000年代的移動設(shè)備革命，以及2010年代向云計算的擴張。

我們現(xiàn)在已經(jīng)進入了另一個變革時代：當前的AI和ML軍備競賽雖然令人興奮，但也為CISO帶來了一系列新的運營風(fēng)險。

 知道什么時候說“是”

精簡業(yè)務(wù)關(guān)鍵功能、緩解瓶頸和提高運營效率的努力使數(shù)字化轉(zhuǎn)型成為每個企業(yè)的首要任務(wù)。當收入和客戶滿意度受到影響時，采用新技術(shù)并了解與之相關(guān)的網(wǎng)絡(luò)風(fēng)險是勢在必行的。

CISO要想成為真正的業(yè)務(wù)伙伴，對每一個新機會都說“不”是不可行的。但是，知道如何以及何時在不危及組織安全態(tài)勢的情況下說“是”可能很棘手。

這凸顯了簡化高管層和董事會對網(wǎng)絡(luò)風(fēng)險的集體理解的重要性。CISO的角色不再是戰(zhàn)術(shù)推動者或純粹的技術(shù)專家。它是關(guān)于如何成為一個變革性的領(lǐng)導(dǎo)者，以縮小企業(yè)的網(wǎng)絡(luò)安全和業(yè)務(wù)運營之間的差距，并幫助推動市場采用和持續(xù)成功。

高層參與：使網(wǎng)絡(luò)風(fēng)險與業(yè)務(wù)目標保持一致

有效地讓高管參與進來是基于簡化網(wǎng)絡(luò)風(fēng)險和業(yè)務(wù)風(fēng)險之間的聯(lián)系。這需要解讀網(wǎng)絡(luò)攻擊的影響，并清楚地勾勒出它可能對基本業(yè)務(wù)目標造成的嚴重后果，而不是夸大其詞地描繪“世界末日”的故事。

在與首席財務(wù)官的對話中，這種聯(lián)系可能是與勒索軟件事件導(dǎo)致的運營停機相關(guān)的財務(wù)損失;對于首席營銷官來說，這可能是客戶個人身份信息(PII)數(shù)據(jù)泄露后的品牌聲譽受損;對于首席運營官來說，這可能是供應(yīng)鏈中斷后的業(yè)務(wù)中斷。

這個游戲的本質(zhì)是傳達“不作為”的含義，并將其與各個領(lǐng)導(dǎo)者眼中最有意義的結(jié)果聯(lián)系起來。因為圍繞擴展檢測和響應(yīng)(XDR)解決方案、泄漏和分布式拒絕服務(wù)(DDoS)攻擊的復(fù)雜性討論永遠不會與非技術(shù)受眾產(chǎn)生共鳴。

而且，更深入地說，它也可能在CISO沒有真正意識到的情況下給人一種輕視的感覺，從而進一步加劇網(wǎng)絡(luò)威脅形勢的復(fù)雜性。

董事會參與：建立信任和信心

隨著網(wǎng)絡(luò)威脅的性質(zhì)不斷演變，圍繞總體網(wǎng)絡(luò)風(fēng)險的監(jiān)管格局也在不斷變化。隨著美國證券交易委員會新規(guī)的生效，董事會終于開始認識到數(shù)字時代網(wǎng)絡(luò)彈性的緊迫性，并進一步承諾為企業(yè)配備適當?shù)馁Y源，以主動保護數(shù)據(jù)和實現(xiàn)自我保護。

這種模式轉(zhuǎn)變的連鎖反應(yīng)是，安全領(lǐng)導(dǎo)者現(xiàn)在比以往任何時候都更多地從董事會獲得見解和建議。CAP集團今年早些時候的一項研究發(fā)現(xiàn)，在Russell 3000 index公司中有90%缺少一名具備必要網(wǎng)絡(luò)專業(yè)知識的董事。反過來，CISO被要求在董事會中建立和維持一條開放的溝通渠道。

快速和持續(xù)的更新

考慮到嚴格的合規(guī)要求即將生效，董事會需要快速、持續(xù)地更新網(wǎng)絡(luò)威脅形勢。在這種情況下，有效的參與需要對最終目標有堅定的理解。這并不是要求組織的主要管理機構(gòu)進行網(wǎng)絡(luò)預(yù)算或批準的問題。相反地，這是一份請愿書，讓人們相信，該組織有能力在網(wǎng)絡(luò)危機中管理好自己，并在遵守相應(yīng)法規(guī)的情況下緩解其后果。

在董事會環(huán)境中，時間是至關(guān)重要的——首席信息安全官通常只有15到30分鐘的時間來陳述自己的觀點。所以，不要使用大量的ppt和冗長的演講，而是利用有影響力的講故事技巧和合乎邏輯的真實世界的例子來引起共鳴。

這不僅僅是為了表達網(wǎng)絡(luò)風(fēng)險，而是要讓他們切實地感受到它的影響。