Abacus公司首席信息安全官Bill Brown指出，像SolarWinds這樣引人注目的網(wǎng)絡(luò)安全漏洞事件應(yīng)該引起企業(yè)高管和董事會成員的關(guān)注。他曾擔(dān)任三家公司的信息安全負(fù)責(zé)人，他表示任何公司的企業(yè)高管通常在聽說出現(xiàn)最新的安全漏洞后，都會打電話給他以尋求安全保證。他們會說，“這種事件會發(fā)生在我們公司嗎?我們應(yīng)該如何應(yīng)對?”

 

他說，但是現(xiàn)在許多董事會成員對此無動于衷。

 

SANS研究所新興安全趨勢負(fù)責(zé)人John Pescatore表示，雖然SolarWinds安全漏洞事件成為了頭條新聞，但需要考慮對企業(yè)業(yè)務(wù)帶來的其他影響，例如冠狀病毒疫情。他說，“對企業(yè)董事會來說，網(wǎng)絡(luò)安全是他們承擔(dān)責(zé)任所涉及的眾多風(fēng)險之一，而對于大多數(shù)公司而言，這并不是最大的風(fēng)險。”

 

在Trend Micro公司和Enterprise Strategy集團(tuán)最近進(jìn)行的一項調(diào)查中，約有85%的安全負(fù)責(zé)人表示，與兩年前相比，企業(yè)董事會在安全決策和戰(zhàn)略方面的參與度更高。但是，由于重大泄露事件、新的合規(guī)性要求或業(yè)務(wù)信息安全官(BISO)的安全計劃，這些高管才會關(guān)注。

 

該報告建議，企業(yè)需要增加業(yè)務(wù)信息安全官(BISO)的職位以改善業(yè)務(wù)安全一致性，其職責(zé)是建立自上而下的可衡量項目，并更改報告結(jié)構(gòu)，以便首席信息安全官(CISO)直接向企業(yè)首席執(zhí)行官報告。歸根結(jié)底，首席信息安全官(CISO)有責(zé)任與企業(yè)高管和董事會建立密切關(guān)系，并與他們進(jìn)行定期對話。

 

為了保持發(fā)展勢頭，首席信息安全官(CISO)必須以業(yè)務(wù)術(shù)語提供穩(wěn)定的信息流，并以風(fēng)險和網(wǎng)絡(luò)安全戰(zhàn)略的形式(不僅是技術(shù)解決方案)讓企業(yè)董事會保持關(guān)注。安全主管和分析師提供了一些技巧、工具和框架，以幫助將安全性轉(zhuǎn)化為策略并確保網(wǎng)絡(luò)安全。

 

 

SANS公司安全意識總監(jiān)Lance Spitzner說，“首席信息安全官(CISO)必須具有周全的策略，并且有戰(zhàn)略業(yè)務(wù)工具才能做到這一點。”SANS公司為安全領(lǐng)導(dǎo)者提供了為期五天的類似“MBA”課程，以了解企業(yè)高管和董事會用來衡量風(fēng)險和制定策略的業(yè)務(wù)模型和框架。首席信息安全官(CISO)可以研究PEST模型、SWOT分析、平衡計分卡，或如何將能力成熟度模型集成(CMMI)模型與NIST網(wǎng)絡(luò)安全框架相結(jié)合，以向企業(yè)董事會成員傳達(dá)其不同戰(zhàn)略安全計劃的成熟度。

 

Spitzner指出，首席信息安全官(CISO)不必了解所有這些模型，只需了解對企業(yè)董事會至關(guān)重要的模型即可。他們需要與企業(yè)董事會成員交談，并詢問他們在董事會會議中使用哪種類型的模型。

 

一些行業(yè)特定的安全框架也促進(jìn)了企業(yè)董事會的討論。 Abacus公司最近完成了HITRUST認(rèn)證，這是醫(yī)療保健領(lǐng)域的一個通用安全框架，處理受保護(hù)的健康信息的組織經(jīng)常需要此框架。Brown表示，這些認(rèn)證使企業(yè)的安全活動更加結(jié)構(gòu)化，其中包括與董事會成員溝通方面的要求。其中一些控制措施包括與執(zhí)行團(tuán)隊進(jìn)行定期對話，討論他們在保護(hù)資產(chǎn)方面的角色以及業(yè)務(wù)合作伙伴的角色，其責(zé)任與首席信息安全官(CISO)相同。

 

數(shù)據(jù)可視化工具還可以幫助首席信息安全官(CISO)更好地將網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)化為業(yè)務(wù)影響。Brown為Abacus公司創(chuàng)建了一個季度熱圖圖表，該圖表使用顏色表示表中的數(shù)據(jù)值，從綠色的低概率、低影響問題到紅色的高概率、高影響問題。數(shù)據(jù)值顯示了已確定的潛在風(fēng)險，在Abacus公司發(fā)生的每種可能性以及發(fā)生的影響，其中包括對客戶、對業(yè)務(wù)的看法以及與供應(yīng)商和合作伙伴的關(guān)系的影響。他的團(tuán)隊定期監(jiān)視和更新此數(shù)據(jù)。

 

Brown說：“企業(yè)董事會期待看到自從上個季度以來熱圖的變化。如果某個事件具有高潛力、高影響力，可以討論安全團(tuán)隊正在做些什么，以使它們的可能性或影響力降低。”

 

 

Pescatore說，企業(yè)董事們和高管們希望首席信息安全官以競爭對手為基準(zhǔn)衡量自己的工作，這類似于首席財務(wù)官和首席運(yùn)營官向企業(yè)董事會展示的內(nèi)容。他說：“企業(yè)董事會成員希望聽到，在安全計劃或保護(hù)供應(yīng)鏈方面，是比競爭對手更差還是更好?但通常很難做到這一點。”他指出，但是有很多資源可以提供幫助。美國信息共享和分析中心委員會是一個針對特定行業(yè)的組織，主要負(fù)責(zé)收集和共享有關(guān)對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅的信息。

 

美國信息共享和分析中心(ISAC)還促進(jìn)了公共部門和私營部門團(tuán)體之間的數(shù)據(jù)共享。該中心列出了24個行業(yè)作為參與成員，其中包括醫(yī)療保健、零售、酒店、金融服務(wù)、媒體以及石油和天然氣。Pescatore說：“人們有能力團(tuán)結(jié)起來應(yīng)對這種情況，只是沒有被充分放大。”

 

 

SolarWinds對美國政府機(jī)構(gòu)的攻擊使新的行政管理著眼于強(qiáng)化美國的網(wǎng)絡(luò)安全防御。美國聯(lián)邦隱私立法的要求也在不斷提高，近年來提出的一些法案可能最終會受到關(guān)注。這是一個熱門話題，美國國會需要對新的聯(lián)邦法律可以取代已經(jīng)生效的州立法達(dá)成共識。

 

例如，《加利福尼亞州隱私權(quán)和執(zhí)行法》(CPRA)于去年11月通過，將于2023年1月1日全面生效。該法律要求該州總收入超過2500萬美元的企業(yè)必須提供合理的網(wǎng)絡(luò)安全保護(hù)措施，提交年度網(wǎng)絡(luò)安全審核，向新成立的加利福尼亞隱私保護(hù)局提交風(fēng)險評估的監(jiān)管文件，并要求合同條款和其他保護(hù)措施來解決供應(yīng)鏈安全和隱私風(fēng)險。美國其他八個州也有類似版本的隱私法規(guī)。

 

分析師表示，首席信息安全官(CISO)應(yīng)將其關(guān)注點放在新法規(guī)上，以分享積極的網(wǎng)絡(luò)安全措施和投資如何使企業(yè)達(dá)到合規(guī)性。

 

 

分析師指出，首席信息安全官(CISO)不僅需要隨時征求信息請求或召開季度會議，還需要與高管和董事會建立和培養(yǎng)關(guān)系。《全球CISO的戰(zhàn)略與策略和領(lǐng)導(dǎo)力》一書的作者M(jìn)ichael Oberlaender表示：“應(yīng)該始終保持開放的溝通，而不僅僅是在重大危機(jī)期間，這是核心問題，否則安全就會被忽視。”

 

Brown說，“建設(shè)良好的人際關(guān)系可以獲得盟友的幫助。一旦發(fā)生不幸的事情，那么已經(jīng)擁有了這種關(guān)系，所有人可以一起解決問題而不是相互指責(zé)。”

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。