監(jiān)管要求(如證券交易委員會(huì)的新網(wǎng)絡(luò)事件報(bào)告規(guī)則)和聯(lián)邦、州及國(guó)際層面的其他監(jiān)管要求，已提高了對(duì)網(wǎng)絡(luò)事件和高管層級(jí)責(zé)任的要求。目前的勒索軟件攻擊及其他攻擊事件也表明，網(wǎng)絡(luò)事件會(huì)威脅公司的運(yùn)營(yíng)和聲譽(yù)。

無(wú)論CISO在公司層級(jí)結(jié)構(gòu)中的位置如何，董事會(huì)都越來(lái)越關(guān)注網(wǎng)絡(luò)安全。簡(jiǎn)而言之，董事會(huì)在涉及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)應(yīng)向公司管理層提出的最大問(wèn)題是：“我們安全嗎?”

然而，這是一個(gè)復(fù)雜的問(wèn)題，簡(jiǎn)單的“是”或“否”是不夠的，CISO需要用董事會(huì)成員能理解的語(yǔ)言向高層管理人員和董事會(huì)成員解釋公司安全態(tài)勢(shì)的良好之處，他們必須提供資產(chǎn)安全的證據(jù)，解釋如何衡量安全性，并展示公司安全態(tài)勢(shì)的演變過(guò)程。

要充分回答這個(gè)問(wèn)題，CISO需要回答五個(gè)關(guān)鍵問(wèn)題。董事會(huì)可能不會(huì)明確提出這些問(wèn)題，但在每次會(huì)議上解決它們可以有效地傳達(dá)企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)。

1. 我們的關(guān)鍵資產(chǎn)安全的證據(jù)在哪里?

準(zhǔn)備好回答這個(gè)問(wèn)題是一個(gè)例子，說(shuō)明預(yù)測(cè)董事會(huì)需要了解的信息如何幫助CISO提高表現(xiàn)。

安全領(lǐng)導(dǎo)者經(jīng)?；谧约旱淖罴巡聹y(cè)做出決策。提供安全證據(jù)可能需要結(jié)合漏洞管理和暴露管理與傳統(tǒng)資產(chǎn)情報(bào)，從而為你提供關(guān)鍵資產(chǎn)的完整視圖。這些資產(chǎn)與SEC相關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)有關(guān)，受支付卡行業(yè)(PCI)標(biāo)準(zhǔn)約束，包含敏感客戶數(shù)據(jù)或是供應(yīng)鏈中的關(guān)鍵部分。

列出你的關(guān)鍵資產(chǎn)，并確定哪些沒(méi)有問(wèn)題，哪些有問(wèn)題，是帶到董事會(huì)的有力證據(jù)。如果安全高管想要像首席財(cái)務(wù)官(CFO)等其他高級(jí)管理人員一樣受到對(duì)待，他們必須攜帶實(shí)證證據(jù)，并基于證據(jù)做出論點(diǎn)。

2. 我們的關(guān)鍵資產(chǎn)的安全性季度同比趨勢(shì)如何?

在識(shí)別關(guān)鍵資產(chǎn)后，你需要展示你的安全態(tài)勢(shì)是否比上周、上個(gè)月或上季度更好，并解釋為什么更好——或者更差。在后一種情況下，如果可以證明安全不足是由于資源、人力或許可的缺乏，CISO可以提出更多資源或更大預(yù)算的請(qǐng)求。

無(wú)論哪種情況，隨著時(shí)間的推移跟蹤趨勢(shì)會(huì)鼓勵(lì)CISO更加戰(zhàn)略性地思考。

3. 你能展示我們需要在哪些方面投資以增強(qiáng)關(guān)鍵資產(chǎn)保護(hù)的指標(biāo)嗎?

除了展示企業(yè)的關(guān)鍵資產(chǎn)并識(shí)別存在問(wèn)題的資產(chǎn)，你還需要深入了解這些問(wèn)題的原因。例如，你可以識(shí)別由于生命周期結(jié)束或缺少安全控制或補(bǔ)丁管理而面臨暴露的資產(chǎn)。

安全高管還可以展示有多少工單處于開(kāi)放狀態(tài)以及解決這些工單的進(jìn)度。他們還可以展示投資不足導(dǎo)致暴露風(fēng)險(xiǎn)的地方。

4. 支持關(guān)鍵任務(wù)操作的資產(chǎn)的漏洞修復(fù)時(shí)間是多久?

修復(fù)不僅僅是發(fā)現(xiàn)和解決問(wèn)題。一個(gè)關(guān)鍵問(wèn)題是：需要多長(zhǎng)時(shí)間?企業(yè)必須為其應(yīng)用程序和其他資產(chǎn)設(shè)定參數(shù)，確定目標(biāo)修復(fù)時(shí)間。

對(duì)于某些資產(chǎn)，14天可能是一個(gè)合理的目標(biāo)，但對(duì)于關(guān)鍵任務(wù)資產(chǎn)，可能需要更短的時(shí)間——四天、三天甚至更短的時(shí)間。平均修復(fù)時(shí)間(MTTR)是事件響應(yīng)的重要關(guān)鍵績(jī)效指標(biāo)(KPI)，最終會(huì)影響公司的責(zé)任。

5. 有哪些證據(jù)表明受監(jiān)管要求約束的資產(chǎn)符合規(guī)定?

為了提供資產(chǎn)符合規(guī)定的證據(jù)，像配置管理數(shù)據(jù)庫(kù)(CMDB)這樣的解決方案可以讓你標(biāo)記某些資產(chǎn)為關(guān)鍵資產(chǎn)，例如運(yùn)行Oracle的任何系統(tǒng)或云中的所有內(nèi)容。將這些信息導(dǎo)入或在資產(chǎn)情報(bào)解決方案中標(biāo)記它們，可以將業(yè)務(wù)上下文層疊到其他措施之上，從而提供對(duì)關(guān)鍵資產(chǎn)狀態(tài)的可見(jiàn)性。

除了標(biāo)記關(guān)鍵資產(chǎn)外，你還可以例如在季度或財(cái)年末識(shí)別與PCI法規(guī)相關(guān)的所有關(guān)鍵資產(chǎn)或與金融服務(wù)相關(guān)的資產(chǎn)。資產(chǎn)情報(bào)和業(yè)務(wù)上下文標(biāo)記允許CISO微調(diào)特定資產(chǎn)的指標(biāo)，為董事會(huì)提供公司風(fēng)險(xiǎn)管理態(tài)勢(shì)的更清晰的概念。

結(jié)論

無(wú)論CISO在公司層級(jí)中的排名如何，他們?cè)诰W(wǎng)絡(luò)安全方面都處于高壓位置。這種壓力越來(lái)越延伸到高層領(lǐng)導(dǎo)和董事會(huì)。

能夠清晰解釋公司安全態(tài)勢(shì)、其演變過(guò)程以及需要更多資源的地方的CISO，可以緩解高層對(duì)安全的擔(dān)憂，同時(shí)證明安全高管應(yīng)當(dāng)在高層會(huì)議中占有一席之地的理由。