數(shù)據(jù)泄露、勒索軟件攻擊以及對(duì)全球疫情相關(guān)風(fēng)險(xiǎn)的擔(dān)憂,提高了企業(yè)董事會(huì)對(duì)網(wǎng)絡(luò)安全的興趣。安全領(lǐng)導(dǎo)人表示,董事會(huì)已經(jīng)開始越來越關(guān)注安全問題,對(duì)網(wǎng)絡(luò)問題也有了更深刻的理解,并開始就風(fēng)險(xiǎn)暴露和管理方法提出了更復(fù)雜的問題。
盡管許多人仍將安全視為是業(yè)務(wù)經(jīng)營的一項(xiàng)成本,但越來越多的董事會(huì)成員已經(jīng)開始認(rèn)為安全性是業(yè)務(wù)的基礎(chǔ)了。隨著許多公司在疫情爆發(fā)后加速了數(shù)字化轉(zhuǎn)型計(jì)劃,董事會(huì)希望了解在勞動(dòng)力分布更加分散的環(huán)境中,安全性將如何能夠支持這些努力并支持業(yè)務(wù)需求。
“董事會(huì)對(duì)技術(shù)和安全的理解已經(jīng)變得更加精明了,”麥當(dāng)勞的首席信息官Timothy Youngblood說,“他們?cè)谝欢ǔ潭壬鲜艿搅俗C交會(huì)的驅(qū)動(dòng),他們期望董事會(huì)具備一定水平的技術(shù)專長。”。他們還得到了美國企業(yè)董事協(xié)會(huì)和其他機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的大量指導(dǎo)。
因此,董事會(huì)現(xiàn)在向安全負(fù)責(zé)人提出的問題也發(fā)生了改變。根據(jù)Youngblood以及其他人的說法,以下是當(dāng)今人們最關(guān)心的六個(gè)問題。
1.網(wǎng)絡(luò)問責(zé)
風(fēng)險(xiǎn)管理公司VigiTrust的首席執(zhí)行官、新書《董事會(huì)中的網(wǎng)絡(luò)大象》的作者M(jìn)athieu Gorge表示,首席信息官需要更好地準(zhǔn)備回答董事會(huì)中關(guān)于網(wǎng)絡(luò)問責(zé)的問題。網(wǎng)絡(luò)問責(zé)是指一個(gè)組織證明自己有良好的確保網(wǎng)絡(luò)安全的能力,如果出現(xiàn)問題,他們可以將一切追溯到一個(gè)獨(dú)特的事件、獨(dú)特的人或獨(dú)特的群體,Gorge說。
CISO需要準(zhǔn)備好解釋什么是網(wǎng)絡(luò)問責(zé),為什么組織應(yīng)該關(guān)心,該如何開始網(wǎng)絡(luò)問責(zé)之旅,以及它包括了什么。“這只是證明我們能夠應(yīng)對(duì)網(wǎng)絡(luò)攻擊,并且我們有一個(gè)計(jì)劃,還是不止于此?它需要涉及到誰,需要花費(fèi)多少,或者說我們真的需要它嗎?”Gorge說。
在闡述應(yīng)對(duì)措施時(shí),安全領(lǐng)導(dǎo)者需要記住,董事會(huì)真正想聽到的是對(duì)整個(gè)業(yè)務(wù)生態(tài)系統(tǒng)的問責(zé)。這意味著,除了他們自己的組織之外,安全領(lǐng)導(dǎo)者還需要能夠描述他們將如何讓加盟商、子公司、業(yè)務(wù)合作伙伴、供應(yīng)商以及其他的第三方對(duì)實(shí)施安全最佳實(shí)踐負(fù)責(zé)。
這一生態(tài)系統(tǒng)可以是國際性的,也可以由復(fù)雜而且往往相互沖突的條例和標(biāo)準(zhǔn)來管理,所有這些都需要一定程度的問責(zé)制。CISO需要準(zhǔn)備好回答他們可能在做什么,或者計(jì)劃做什么,以證明這種問責(zé)制。“你是否能夠通過繪制一個(gè)生態(tài)系統(tǒng)圖來展示它,是否能夠使用一個(gè)向你顯示正在發(fā)生什么的控件來展示它,是否能夠表明你已經(jīng)分類了組織內(nèi)各個(gè)利益相關(guān)者對(duì)數(shù)據(jù)的機(jī)密訪問權(quán)限?”
2.新冠病毒疫情期間及以后的安全狀況
商業(yè)支付服務(wù)公司Fleetcor的CISO James Edgar表示,全球的新冠病毒疫情促使人們轉(zhuǎn)向了遠(yuǎn)程工作,這也使得人們會(huì)更加關(guān)注董事會(huì)已經(jīng)在網(wǎng)絡(luò)安全方面提出的問題。
從IT的角度和整體業(yè)務(wù)的角度來看,當(dāng)前的重點(diǎn)是向遠(yuǎn)程工作的轉(zhuǎn)變將如何影響業(yè)務(wù)的運(yùn)營方式。這些問題與組織是否能夠?qū)⒋蟛糠謫T工轉(zhuǎn)移到遠(yuǎn)程模式并且仍然能夠支持業(yè)務(wù)有關(guān)。
Edgar說,他從董事會(huì)接收的問題包括與業(yè)務(wù)連續(xù)性有關(guān)的問題,以及新冠病毒疫情來襲時(shí)對(duì)已經(jīng)在進(jìn)行的主要IT項(xiàng)目的潛在影響。“我們能否兌現(xiàn)我們所認(rèn)為的至關(guān)重要的大事?我們能夠保持當(dāng)前的安全性和合規(guī)性水平嗎?我們的基準(zhǔn)是什么?當(dāng)我們走出新冠病毒疫情時(shí),我們將達(dá)到這些標(biāo)準(zhǔn)嗎?”
隨著事態(tài)的穩(wěn)定,焦點(diǎn)已經(jīng)轉(zhuǎn)移到本組織在后新冠肺炎的世界里保持其安全態(tài)勢的能力,以及為實(shí)現(xiàn)這一目標(biāo)將采取的投資措施。Edgar說,對(duì)他有效的一種策略是,每季度向董事會(huì)提供有關(guān)威脅狀況和安全領(lǐng)域大趨勢的最新信息。“我們會(huì)定期向他們提供有關(guān)我們所看到的情況以及我們?cè)诶账鬈浖?、端點(diǎn)保護(hù)、網(wǎng)絡(luò)監(jiān)控方面所做工作的最新信息。”
3.安全策略
Youngblood說,與幾年前相比,董事會(huì)對(duì)網(wǎng)絡(luò)安全的思考已經(jīng)變得更具戰(zhàn)略性。許多董事將網(wǎng)絡(luò)安全視為其信托責(zé)任的一部分,也是其應(yīng)有的謹(jǐn)慎和忠誠的義務(wù)。
“你今天所面臨的問題是,你該如何處理不在你控制范圍內(nèi)的事情--就像是第三方一樣,”Youngblood說。如今有這么多的外包業(yè)務(wù),董事們想聽聽企業(yè)網(wǎng)絡(luò)安全投資是如何受到保護(hù)的。他們希望了解組織從中獲得了什么,以及是否有任何可能影響業(yè)務(wù)目標(biāo)的東西。
Youngblood表示,董事會(huì)喜歡聽取組織對(duì)網(wǎng)絡(luò)事件的準(zhǔn)備情況,以及在威脅成為主要問題之前是否有檢測威脅的控制措施。他們想知道網(wǎng)絡(luò)安全是否是以這樣一種方式與數(shù)字化轉(zhuǎn)型聯(lián)系在一起的,即安全是建立在每一個(gè)步驟中的,而不是固定在最后的。值得注意的是,董事會(huì)也越來越想知道該組織可能沒有進(jìn)行的任何可能對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)產(chǎn)生負(fù)面影響的投資,他說。
回答這樣的問題可能很棘手,這就是為什么讓CISO、CPO和其他利益相關(guān)者在董事會(huì)上發(fā)揮作用是一個(gè)好主意。在與董事會(huì)討論戰(zhàn)略安全問題時(shí),也要確保你的演講不會(huì)讓CISO感到意外,他說。要了解董事會(huì)的風(fēng)險(xiǎn)偏好,并確保能夠?qū)⒕W(wǎng)絡(luò)風(fēng)險(xiǎn)納入企業(yè)風(fēng)險(xiǎn)管理的更廣泛背景當(dāng)中。
“我推薦的方法是從能夠談?wù)摰臉I(yè)務(wù)和業(yè)務(wù)成果開始,”Youngblood說。“我不會(huì)用一種更有策略性的方式進(jìn)行談話。”
4.對(duì)照行業(yè)最佳實(shí)踐進(jìn)行基準(zhǔn)測試
董事會(huì)對(duì)其組織的安全狀況與同行相比有多好(或多差)非常感興趣,云服務(wù)提供商N(yùn)etenrich的CISO Brandon Hoffman表示。一個(gè)驅(qū)動(dòng)因素可能是,在違規(guī)情況下,公司的安全措施會(huì)經(jīng)常與行業(yè)最佳實(shí)踐或同行所采用的實(shí)踐進(jìn)行比較。
“最高層對(duì)了解與行業(yè)相關(guān)的風(fēng)險(xiǎn)有濃厚的興趣,”Hoffman說。這種比較本身往往無助于營造一個(gè)更安全、風(fēng)險(xiǎn)更低的環(huán)境。即便如此,許多董事會(huì)還是希望這樣做,因?yàn)樵跇I(yè)務(wù)環(huán)境中,有效度量安全性的方法很少。
“CISO犯的最大錯(cuò)誤之一是沒有將與安全相關(guān)的風(fēng)險(xiǎn)與業(yè)務(wù)風(fēng)險(xiǎn)聯(lián)系起來,”Hoffman說。“相反,報(bào)告會(huì)圍繞著合規(guī)框架和技術(shù)度量展開,”這些充其量只是日常行動(dòng)的指標(biāo)。“不幸的是,這確實(shí)無助于高管或董事會(huì)了解其對(duì)業(yè)務(wù)的影響。”
5.抵御網(wǎng)絡(luò)攻擊的能力
雖然董事會(huì)在戰(zhàn)略、企業(yè)風(fēng)險(xiǎn)管理層面對(duì)網(wǎng)絡(luò)安全越來越感興趣,但他們?nèi)匀粫?huì)深入?yún)⑴c與組織防御和應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力有關(guān)的事務(wù)。“他們想知道你是如何利用人員、流程和技術(shù)來盡可能地降低風(fēng)險(xiǎn),同時(shí)保持生產(chǎn)力和安全性之間的適當(dāng)平衡的,”CISO顧問和首席安全科學(xué)家Joseph Carson說。
董事會(huì)可能提出的問題,以及CISO需要準(zhǔn)備解釋的問題,包括關(guān)鍵業(yè)務(wù)服務(wù)面臨勒索軟件等威脅的風(fēng)險(xiǎn),以及為降低勒索軟件或其他攻擊對(duì)業(yè)務(wù)服務(wù)的影響所采取的措施。“哪種威脅最有可能影響到業(yè)務(wù),有哪些財(cái)務(wù)風(fēng)險(xiǎn)和降低風(fēng)險(xiǎn)的選項(xiàng),”他表示。“我們的網(wǎng)絡(luò)風(fēng)險(xiǎn)差距有多大,又比如降低風(fēng)險(xiǎn)的成本與完全不作為的成本?”
準(zhǔn)備好回答關(guān)于事故響應(yīng)計(jì)劃的問題,以及你是否已經(jīng)測試了對(duì)業(yè)務(wù)最有可能的潛在威脅。“我們要做什么來細(xì)分業(yè)務(wù)的各個(gè)部分并控制訪問權(quán)限?”Carson說。“我們超出了哪些法規(guī)和合規(guī)要求,達(dá)到了哪些要求,或未達(dá)到哪些要求,以及它們是如何與業(yè)務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)保持一致的?”
6.持續(xù)合規(guī)性
你需要準(zhǔn)備好談?wù)摮掷m(xù)的合規(guī)性和持續(xù)的安全性,Gorge說。董事會(huì)成員往往會(huì)問,在網(wǎng)絡(luò)安全方面的投資能為公司贏得多少時(shí)間。“問題是,‘好吧,我們要這樣做一次,這會(huì)讓我們?cè)趲啄昀锉3至己?,?duì)嗎?或者我們需要持續(xù)這樣做嗎?’”他說。
這就是為什么CISO和其他安全領(lǐng)導(dǎo)者需要引入這樣一種理念的原因,即安全性和合規(guī)性是一個(gè)旅程,而不是目的地,Gorge說。他們需要證明,隨著業(yè)務(wù)的發(fā)展,安全的需求也在不斷變化。重要的是,安全領(lǐng)導(dǎo)人應(yīng)該強(qiáng)調(diào)需要在資金、時(shí)間和精力方面持續(xù)對(duì)網(wǎng)絡(luò)安全進(jìn)行投資。解釋在三到五年的時(shí)間里,這些投資將如何降低成本、提高安全性、提高客戶信心以及會(huì)帶來哪些其他切實(shí)的好處。
在網(wǎng)絡(luò)問責(zé)和持續(xù)合規(guī)性的雙重背景下,CISO所面臨的最大挑戰(zhàn)是展示網(wǎng)絡(luò)安全將如何成為一種業(yè)務(wù)推動(dòng)因素,而不僅僅是成本,Gorge說。“與其說‘如果我們不這樣做,就可能會(huì)發(fā)生安全事故’,不如展示你將如何利用現(xiàn)有的模型,以一種實(shí)際上能夠增加價(jià)值的方式,將網(wǎng)絡(luò)安全納入到資產(chǎn)負(fù)債表當(dāng)中。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)