（中國計算機世界出版服務公司出品）

網絡犯罪活動的激增已經引起了企業董事會對安全的關注。本文介紹首席信息安全官從董事會那裡可能聽到的擔憂和問題。

數據洩露、勒索軟件攻擊加劇了企業董事會對網絡安全的關注。安全領導表示，董事會越來越多地參與到安全事務中，對網絡問題有了更深刻的理解，并針對風險暴露和管理風險的方法提出了更複雜的問題。

盡管很多人仍然把安全看成是開展業務的一項成本，但越來越多的董事會成員将其視為業務的基礎。随着衆多的企業加快了數字化轉型計劃，董事會想知道，在員工越來越分散的環境中，安全怎樣支持轉型舉措，滿足業務需求。

麥當勞公司首席信息官Timothy Youngblood說：“董事會越來越精于理解技術和安全問題。”他說：“這是因為他們在一定程度上受到了SEC的影響，自己也期望董事會具備一定水平的技術專長。”他們還得到了全國企業董事協會和其他機構在網絡安全方面的大量指導。

因此，董事會現在向安全領導們提出的問題也發生了很大變化。據Youngblood等人的研究，以下列出了當今董事會最關心的6個問題。

01 網絡問責

風險管理公司VigiTrust的首席執行官、新書《董事會裡的網絡大象》的作者Mathieu Gorge指出，首席信息安全官應做好更充分的準備，以回答董事會有關網絡問責的問題。Gorge介紹說，“網絡問責”指的是一個部門有能力證明他們有良好的網絡環境，如果出了問題，他們可以追溯所有問題，定位到某個具體的事件、人或者群體。

首席信息安全官應準備好解釋什麼是網絡問責，企業為什麼要關注它，怎樣開始網絡問責之旅，以及它包括什麼。Gorge說：“這隻是為了證明我們能夠應對網絡攻擊，而且我們有相應的計劃，還是不止于此？涉及到誰，花費多少，我們真的需要嗎？”

在闡明應對措施時，安全領導們應注意，董事會真正想聽到的是對企業整體生态系統的問責。這意味着，除了他們自己的部門之外，安全領導們還應該能夠描述他們怎樣讓特許經營商、子公司、業務合作夥伴、供應商和其他第三方為實施安全最佳實踐負責。

這種生态系統可以是國際性的，由複雜而且往往相互沖突的條例和标準來監管，所有這些都需要某種程度的問責。首席信息安全官需要準備好回答他們正在做什麼，或者計劃做什麼，以闡明自己的責任。“你是否能夠通過繪制生态系統圖來進行展示，是否能夠使用顯示正在發生什麼的控件來進行展示，是否能夠闡明已經對企業内各個相關方的數據訪問權限進行了分類？”

02 疫情及以後的安全态勢

商業支付服務公司Fleetcor的首席信息官James Edgar表示，疫情後人們轉向遠程工作，從而導緻董事會在網絡安全方面提出的問題更加備受關注。

從IT和整個業務部門的角度來看，很多直接關注的焦點都集中在轉向遠程工作将怎樣影響業務運營方式上。這些問題涉及到企業是否有能力将大多數員工轉移到遠程工作模式，并且仍然能夠為業務提供支持。

Edgar說，他從董事會收到的問題包括與業務連續性有關的問題，以及疫情來襲時對已經開始實施的主要IT項目會有什麼影響等。“我們還能把我們最為重要的大事做好嗎？我們是否能維持當前的安全以及合規級别？我們的基準是什麼，當我們走出新冠疫情時，我們還能達到這些标準嗎？”

随着事态的穩定，重點已經轉移到企業在後疫情世界中維持其安全态勢的能力，以及将采取何種投資方式來實現這種能力。Edgar說，對他來說行之有效的一種策略是，每季度向董事會提供關于安全領域威脅形勢和重要趨勢的最新信息。他介紹說：“我們定期向他們提供我們在勒索軟件、端點保護、網絡監控方面所看到的情況以及我們所做工作的最新信息。在安全問題上，我們Fleetcor不能獨善其身，而是放眼世界，兼濟天下。”

03 安全策略

Youngblood說，與幾年前相比，董事會對網絡安全的思考更具戰略性。很多董事将網絡安全視為自己的本職工作，也是應盡的責任和忠誠義務。

Youngblood說：“你今天遇到的問題是，怎樣處理那些不受控制的事情，比如第三方的。”如今有這麼多的外包業務，董事們想聽聽企業網絡安全投資是怎樣受到保護的。他們想了解企業從中得到了什麼，以及是否有影響業務目标的因素。

Youngblood說，董事會喜歡聽到企業應對網絡事件的準備情況，以及在威脅成為重大問題之前是否有控制措施檢測到威脅。他們想知道，網絡安全是否與數字轉型鍊緊密相連，安全是否被内置到每一個步驟中，而不是最後才加上去。他說，值得注意的是，董事會越來越想了解企業還沒有進行但可能對網絡風險産生不利影響的投資。

回答這些問題會很棘手，因此，讓首席信息官、首席産品官和其他相關方在董事會會議上也暢所欲言是不錯的主意。他說，在與董事會讨論戰略安全問題時，你的發言一定不要讓首席信息官感到意外。了解董事會的風險偏好，确保将網絡風險置于企業風險管理的範圍内。

Youngblood說：“我推薦的方法是從談論業務和業務成果開始。我不會以非常策略性的方式進行談話。”

04 對照行業最佳實踐進行基準測試

雲服務提供商Netenrich的首席信息官Brandon Hoffman指出，董事會對他們企業的安全狀況與同行相比有多好或多差非常感興趣。其中一個原因可能是，在出現洩露事件時，企業的安全措施往往會與行業最佳實踐或同行采用的做法進行比較。

Hoffman說：“最高層對了解與行業相關的風險有着濃厚的興趣。”這種比較本身往往對營造更安全、風險更小的環境沒有多大作用。即便如此，很多董事還是希望這樣做，因為在業務環境中，有效衡量安全性的方法很少。

Hoffman說：“首席信息安全官犯的最大錯誤之一是沒有将安全相關風險與業務風險聯系起來。相反，報告往往圍繞着合規框架和技術度量展開，這些充其量隻是日常工作的指标。這确實無助于高管或者董事會理解對業務的影響。”

05 抵禦網絡攻擊

董事會不僅在戰略和企業風險管理層面上對網絡安全越來越感興趣，而且他們仍然深入參與與企業抵禦和應對網絡攻擊能力相關的工作。Thycotic首席信息安全官顧問兼首席安全科學家Joseph Carson評論說，他們想知道你是如何使用人員、流程和技術來盡可能降低風險的，同時還要在工作效率和安全性之間保持适當的平衡。

董事會可能會問及，首席信息安全官需要準備解釋的問題包括：關鍵業務服務暴露給勒索軟件等威脅的風險，以及為降低勒索軟件或其他攻擊對業務服務的影響而采取的措施等。他說：“哪種威脅最有可能影響業務，以及有哪些财務風險，降低風險有哪些選擇。我們的網絡風險差距有多大，比如降低風險的成本與不采取任何措施的成本相比如何？”

準備好回答有關事件響應計劃的問題，以及你是否已針對極有可能嚴重影響業務的每一種威脅進行了測試。Carson說：“我們應采取什麼措施來細分業務的各個部分并控制訪問權限？我們超越了哪些法規和合規要求，滿足了哪些，未能滿足哪些，以及這些法規和合規要求怎樣與業務網絡風險相适應？”

06 持續合規

Gorge說，應準備好讨論持續合規和持續安全性。董事會成員往往會問，在網絡安全方面的投資需要多長時間才能讓公司得到回報。他說：“人們會問，'好吧，我們就這麼試一次，那麼今後好幾年都會保持得不錯，對嗎？還是需要我們持續的投入？”

Gorge說，在此，首席信息安全官和其他安全領導們應引入這樣一種理念：安全與合規是一個過程，而不是終點。他們應闡明，随着業務的發展，安全需求也在不斷變化。重要的是，安全領導們要強調在網絡安全方面持續投資的必要性，包括資金、時間和精力等。解釋在3~5年的時間裡，這些投資将怎樣降低成本、提高安全性、增強客戶信心并帶來其他切實的好處。

Gorge說：“在網絡問責和持續合規的雙重背景下，首席信息安全官面臨的最大挑戰是展示網絡安全怎樣成為一種業務推動因素，而不僅僅是花錢。與其說‘如果我們不這麼做，可能會發生安全事故’，不如展示一下怎樣利用現有的模式，一種真正增加價值的方式，将網絡安全納入資産負債表。”

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!