能否與董事會成功溝通可能不會決定CISO的職業(yè)生涯，但這一能力正變得越來越重要——尤其是當風(fēng)險意識強的董事會尋求戰(zhàn)略安全見解時。

挑戰(zhàn)不僅僅在于呈現(xiàn)技術(shù)信息——而在于將網(wǎng)絡(luò)安全與董事會的優(yōu)先事項和業(yè)務(wù)目標結(jié)合起來。

然而，CISO們可能難以分辨董事會到底想聽什么、不想聽什么，但還是有方法可以解讀他們的期望并與之有效互動的。

在董事會中找到盟友

找到一個支持者或倡導(dǎo)者可以幫助CISO使自己的報告與董事會的要求保持一致，并建立更好的互動關(guān)系?！罢乙粋€董事會冠軍，幫助弄清董事會到底想聽什么?！倍嗝字Z集團的CISO斯蒂芬·貝內(nèi)特(Stephen Bennett)說。

CISO們可能會花費大量時間試圖弄清楚董事會想要什么，并制作各種類型的報告，希望符合董事會的要求，但直接向源頭了解會更容易。

貝內(nèi)特與一位董事會成員合作，發(fā)現(xiàn)這有助于改進他的報告方式。這意味著要更多地提供戰(zhàn)略性和高層次的見解，或解釋那些沒有具體網(wǎng)絡(luò)安全知識的董事需要了解的技術(shù)信息?！傲钗殷@訝的是，我們常用的一些術(shù)語，比如‘端點’‘防火墻’或‘NIST框架’，董事會都不太了解?！彼嬖V記者。

他意識到需要為董事會填補這一空白，并因此開發(fā)了一個術(shù)語表，以及一份解釋與組織相關(guān)的合規(guī)框架和標準的白皮書，它提供了基礎(chǔ)信息，并確保所有人都在使用一種通用語言。

“這些文件很少改變，因為成熟度評估中的合規(guī)要求和風(fēng)險管理框架相對一致?！彼f。

打好基礎(chǔ)后，貝內(nèi)特就能夠利用定期報告更新企業(yè)是如何緩解風(fēng)險的，并強化網(wǎng)絡(luò)安全投資的價值?！拔視忉屛覀兡壳八幍某墒於入A段、去年所做的工作、明年需要做的工作，以及所需的預(yù)算?！彼f。

這段經(jīng)歷幫助他改變了方法，從提供更像是風(fēng)險登記冊的風(fēng)險報告，轉(zhuǎn)變?yōu)樘峁┮詷I(yè)務(wù)語言表述的戰(zhàn)略風(fēng)險評估。向首席財務(wù)官(CFO)報告這條線的變更也幫助他擬定了面向業(yè)務(wù)的報告。

“只有當你向不參與技術(shù)工作的人員報告時，你才會意識到自己是在使用專業(yè)術(shù)語，或是沒有貼近業(yè)務(wù)語言?！必悆?nèi)特說。

解碼董事會希望安全負責(zé)人做什么

網(wǎng)絡(luò)安全負責(zé)人需要與董事會保持定期聯(lián)系，以培養(yǎng)熟悉感和理解。如果沒有這一點，不明確的情況可能會導(dǎo)致要么過度分享技術(shù)細節(jié)，要么沒有提供足夠的戰(zhàn)略背景。

前CISO、現(xiàn)任董事會顧問、獨立董事和導(dǎo)師保羅·康奈利(Paul Connelly)發(fā)現(xiàn)，許多CISO過于注重指標，而董事會則希望獲得更多戰(zhàn)略見解。董事會不需要知道你的釣魚測試的結(jié)果，康奈利說。董事會關(guān)注的是企業(yè)面臨的風(fēng)險、解決這些風(fēng)險的策略、進度更新、成功的障礙，以及他們是否在處理正確的事情。

“我指導(dǎo)CISO們研究他們的董事會——閱讀他們的簡歷，了解他們的背景，了解董事會的信托責(zé)任，”他說。目標是了解董事會的構(gòu)成和他們的優(yōu)先事項，并將他們的指標納入業(yè)務(wù)的風(fēng)險和威脅分析。

利用這些信息，CISO們可以開發(fā)一個與業(yè)務(wù)相一致的項目故事?！澳莻€高層次的故事——輔以指標測量——就是董事會想聽到的，而不是一堆關(guān)于惡意郵件和關(guān)鍵補丁的指標，或像‘小雞快跑’故事里那樣嚇人的威脅?！笨的卫嬖V記者。

然而，這不是單向互動，但許多CISO與缺乏相應(yīng)技能和理解力以促進有關(guān)網(wǎng)絡(luò)威脅的有意義討論的董事會進行互動?！昂苌儆泄镜亩聲杏姓嬲募夹g(shù)或網(wǎng)絡(luò)安全專家?！笨的卫f。

據(jù)2024年Diligent Institute的一份報告顯示，只有5%的公司擁有網(wǎng)絡(luò)安全專家進入董事會，這表明大多數(shù)董事會在網(wǎng)絡(luò)安全監(jiān)督方面存在困難。

盡管技術(shù)對創(chuàng)新和增長至關(guān)重要，而相關(guān)風(fēng)險也是公司面臨的最大且最復(fù)雜的風(fēng)險之一，但許多董事會卻不具備處理這一話題的技能?！八麄冎皇窃诠芾韺犹岢龅膬?nèi)容上蓋章，或是提出一些他們從麥肯錫的一篇文章中讀到的五個常見問題，但無法進一步探究他們得到的答案?！笨的卫f。

他建議CISO在季度董事會資料中包含簡短的培訓(xùn)視頻、進行董事會桌面演練，或加入其他教育材料?！叭魏文軒椭钛a專業(yè)空白的東西?！?/p>

超越‘是’或‘否’的問題以及董事會與網(wǎng)絡(luò)安全之間的脫節(jié)

在一系列領(lǐng)域，CISO對網(wǎng)絡(luò)安全優(yōu)先事項的看法與他們的董事會之間存在顯著脫節(jié)。根據(jù)Splunk的CISO報告，CISO更可能認為知識深度是一項重要技能，而董事會則希望CISO在溝通和商業(yè)敏銳度方面做得更好。此外，董事會比CISO更堅持對現(xiàn)有的網(wǎng)絡(luò)安全控制進行驗證測試，并認為合規(guī)即成功。

這種對網(wǎng)絡(luò)理解的差距可能會讓董事們在充分利用CISO及其專業(yè)知識方面準備不足。

“你需要明白，一些董事會成員會非常關(guān)心網(wǎng)絡(luò)安全，而另一些則不會。有時你必須向所有董事會成員介紹報告——有些人想要無限細節(jié)，而另一些人只想聽到：‘一切都好，是嗎?’”貝內(nèi)特說。

為了超越‘是’和‘否’的問題，并向董事會提供有價值的背景見解和戰(zhàn)略指導(dǎo)，CISO們需要的不僅僅是打勾練習(xí)。貝內(nèi)特發(fā)現(xiàn)，利用額外的信息來源是拆解現(xiàn)實風(fēng)險和業(yè)務(wù)影響的有效方法?！拔也粫皇钦f：‘這些是風(fēng)險’。我會提供一些背景，幫助他們更深入地理解。”貝內(nèi)特說。

可以將新聞中關(guān)于安全事件的文章與安全控制聯(lián)系起來，說明預(yù)算是如何使用的，以及如果面臨同類型的威脅，這對企業(yè)的風(fēng)險水平和響應(yīng)時間意味著什么?！拔也粌H僅會給出數(shù)字，我還會向他們展示我們的投資是如何發(fā)揮作用的。例如，我們是如何從可能需要五個團隊成員三天時間來解決一個事件，轉(zhuǎn)變?yōu)樵谒膫€小時內(nèi)解決，并具有完全可見性?！彼f。

在正式會議之外尋找與董事會成員互動的機會，也是CISO們改善與董事會成員交流的有力方式。

無論是通過委員會還是臨時的一對一會議，這些互動有助于與董事會成員建立融洽關(guān)系，根據(jù)IANS 2025年《CISO現(xiàn)狀報告》顯示。

康奈利認為，這也是CISO與董事會之間建立成功工作關(guān)系的另一個重要因素。在他擔任CISO期間，他被邀請參加董事會晚宴，并真正了解了審計委員會成員。“那種程度的接觸和舒適感促進了良好的討論，董事會成員們也很自在地提出問題?！彼f。