羅斯·楊(Ross Young)是Team8的駐場CISO，也是OWASP威脅與保障矩陣(TaSM)的創(chuàng)建者。在采訪中，他分享了自己對于網(wǎng)絡(luò)安全專業(yè)人員如何調(diào)整其演示內(nèi)容以貼合董事會需求，并使安全策略與業(yè)務(wù)優(yōu)先事項(xiàng)相一致的看法。

他還討論了董事會對網(wǎng)絡(luò)安全存在的常見誤解，并就如何與高管建立持久關(guān)系提供了實(shí)用建議，以確保網(wǎng)絡(luò)安全在持續(xù)的業(yè)務(wù)討論中始終占據(jù)核心地位。

網(wǎng)絡(luò)安全專業(yè)人員在調(diào)整其演示內(nèi)容以貼合董事會優(yōu)先事項(xiàng)時，應(yīng)考慮哪些關(guān)鍵因素?

向董事會做匯報(bào)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要從業(yè)務(wù)增長和收入影響的角度來闡述網(wǎng)絡(luò)安全計(jì)劃，而不僅僅是風(fēng)險(xiǎn)緩解。董事會成員希望了解安全計(jì)劃如何直接影響公司的底線，因此演示內(nèi)容需要突出安全措施如何增強(qiáng)客戶信心并推動銷售完成。例如，在電子商務(wù)中，簡化的多因素身份驗(yàn)證使交易更加順暢，可以顯著降低購物車放棄率并增加收入。

網(wǎng)絡(luò)安全專業(yè)人員可以通過分享漏洞管理如何保護(hù)創(chuàng)收服務(wù)的具體例子來增強(qiáng)其論點(diǎn)。他們可以展示主動安全測試如何在銷售高峰期保持關(guān)鍵客戶面向應(yīng)用程序的運(yùn)行，從而在競爭對手遭遇中斷時維持收入流。關(guān)于有效災(zāi)難恢復(fù)規(guī)劃在困難時期保持業(yè)務(wù)運(yùn)營的故事尤其能引起董事會成員的共鳴。

通過采用董事會所理解的業(yè)務(wù)價值和盈利能力語言，安全專業(yè)人員可以更有效地為其計(jì)劃獲得支持和資源。關(guān)鍵在于始終將安全計(jì)劃與可衡量的業(yè)務(wù)成果聯(lián)系起來。

董事會對網(wǎng)絡(luò)安全有哪些常見誤解，應(yīng)如何解決?

首先，董事會經(jīng)常認(rèn)為僅靠足夠的支出就能防止所有網(wǎng)絡(luò)攻擊，這根本不是事實(shí)，而且忽視了安全如何在所有三條防線中發(fā)揮作用。雖然投資很重要，但企業(yè)需要在運(yùn)營管理(第一道防線)、風(fēng)險(xiǎn)管理職能(第二道防線)和內(nèi)部審計(jì)(第三道防線)之間協(xié)調(diào)努力，以創(chuàng)建有效的安全態(tài)勢。完全防止攻擊是不可能的，因此韌性和響應(yīng)能力與預(yù)防措施同樣重要。

另一個誤解是過分重視ISO 27001和SOC2 Type 2等認(rèn)證。雖然這些認(rèn)證滿足第二道防線的合規(guī)要求，并有助于客戶保證，但它們并不能自動轉(zhuǎn)化為強(qiáng)大的安全。第一道防線，包括開發(fā)人員和運(yùn)營人員，必須在日常工作中積極實(shí)施安全實(shí)踐，無論認(rèn)證狀態(tài)如何。

最后，董事會經(jīng)常誤解安全責(zé)任。雖然安全團(tuán)隊(duì)通常與風(fēng)險(xiǎn)管理和合規(guī)職能一起在第二道防線中運(yùn)作，但安全的主要責(zé)任始于第一道防線的運(yùn)營團(tuán)隊(duì)，特別是負(fù)責(zé)保護(hù)其應(yīng)用程序的開發(fā)人員。第三道防線(內(nèi)部審計(jì))提供獨(dú)立保證，但不能替代強(qiáng)大的第一道防線安全實(shí)踐。

網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者在向董事會做匯報(bào)時可能會面臨哪些常見的反駁或挑戰(zhàn)，應(yīng)如何應(yīng)對?

最困難的是透明地傳達(dá)持續(xù)存在的風(fēng)險(xiǎn)，特別是在解決這些風(fēng)險(xiǎn)方面進(jìn)展有限時。領(lǐng)導(dǎo)者可能會感受到壓力而淡化這些持續(xù)存在的漏洞，但這樣做可能會產(chǎn)生虛假的安全感。關(guān)鍵在于從業(yè)務(wù)影響的角度闡述這些持續(xù)風(fēng)險(xiǎn)，同時提出切實(shí)可行的、分階段的風(fēng)險(xiǎn)降低方法。

另一個重大挑戰(zhàn)是討論可能給公司帶來責(zé)任的風(fēng)險(xiǎn)。安全領(lǐng)導(dǎo)者必須在履行向董事會通報(bào)重大威脅的義務(wù)的同時，注意此類討論可能如何影響法律責(zé)任。與法律顧問密切合作，適當(dāng)構(gòu)建這些對話，有助于在這個敏感領(lǐng)域進(jìn)行導(dǎo)航。

也許最具挑戰(zhàn)性的是董事會會議中為網(wǎng)絡(luò)安全討論分配的時間通常不足。鑒于需要涵蓋復(fù)雜的技術(shù)主題和不斷演變的威脅，典型短暫的時間段往往不足以進(jìn)行有意義的對話。安全領(lǐng)導(dǎo)者可以通過提前準(zhǔn)備簡潔、以業(yè)務(wù)為重點(diǎn)的簡報(bào)材料，并優(yōu)先討論最關(guān)鍵的問題來解決這一問題。當(dāng)時間限制仍然存在時，他們應(yīng)主張安排專門會議，以確保對網(wǎng)絡(luò)安全事項(xiàng)進(jìn)行適當(dāng)?shù)谋O(jiān)督。

哪些指標(biāo)或關(guān)鍵績效指標(biāo)(KPI)能夠最有效地向非技術(shù)受眾傳達(dá)網(wǎng)絡(luò)安全狀況?

最成功的演示側(cè)重于趨勢數(shù)據(jù)，而不是技術(shù)細(xì)節(jié)，始終將指標(biāo)與業(yè)務(wù)目標(biāo)聯(lián)系起來。選擇少數(shù)幾個高影響力的測量指標(biāo)，以董事會成員自然理解的方式清晰展示進(jìn)展和挑戰(zhàn)。

在向非技術(shù)背景的董事會成員介紹網(wǎng)絡(luò)安全狀況時，應(yīng)重點(diǎn)關(guān)注能夠清晰展示業(yè)務(wù)影響和風(fēng)險(xiǎn)的指標(biāo)。例如，使用可視化風(fēng)險(xiǎn)矩陣的風(fēng)險(xiǎn)降低指標(biāo)提供了一種直觀的方式來展示在減少威脅方面所取得的進(jìn)展。安全投資和回報(bào)指標(biāo)，特別是每起事件的成本和預(yù)算利用率，由于與財(cái)務(wù)決策相一致，因此引起了強(qiáng)烈共鳴。

事件檢測與響應(yīng)指標(biāo)講述了關(guān)于運(yùn)營有效性的令人信服的故事，而第三方和供應(yīng)鏈風(fēng)險(xiǎn)指標(biāo)則突出了關(guān)鍵業(yè)務(wù)關(guān)系中的漏洞，這些可以有效地與威脅態(tài)勢指標(biāo)配對，以提供當(dāng)前安全環(huán)境的背景信息。

哪些策略最能促進(jìn)持續(xù)對話，而不是一次性演示?

通過高管風(fēng)險(xiǎn)委員會進(jìn)行定期互動，為網(wǎng)絡(luò)安全討論提供了一個比孤立的董事會演示更有效的平臺。與C級高管的月度會議使安全領(lǐng)導(dǎo)者能夠持續(xù)了解不斷演變的威脅和安全計(jì)劃的進(jìn)展。這種節(jié)奏使討論更加細(xì)致入微，并幫助高管隨著時間的推移對網(wǎng)絡(luò)安全挑戰(zhàn)形成更深入的理解。

然而，由于并非所有企業(yè)都設(shè)有正式的風(fēng)險(xiǎn)委員會，安全領(lǐng)導(dǎo)者可能需要創(chuàng)建替代渠道以促進(jìn)持續(xù)對話，這可能包括季度業(yè)務(wù)對齊會議、將定期安全更新納入現(xiàn)有高管會議，或與關(guān)鍵利益相關(guān)者的非正式簡報(bào)。關(guān)鍵在于建立一種可預(yù)測的溝通節(jié)奏，使網(wǎng)絡(luò)安全始終保持在高管議程上，而不是將其視為周期性的合規(guī)活動。

通過保持定期的接觸點(diǎn)，安全領(lǐng)導(dǎo)者可以與高管建立更牢固的關(guān)系，并確保網(wǎng)絡(luò)安全始終是戰(zhàn)略業(yè)務(wù)討論的一部分，而不是一年一度的演示活動。