?網(wǎng)絡(luò)安全如今已經(jīng)成為企業(yè)董事會成員越來越關(guān)注的一個(gè)主要話題。在研究機(jī)構(gòu)去年進(jìn)行的一項(xiàng)全球調(diào)查中，將網(wǎng)絡(luò)攻擊和數(shù)據(jù)丟失列為與新冠疫情相關(guān)的變化(例如在家遠(yuǎn)程工作、混合工作和云遷移)導(dǎo)致企業(yè)董事會成員和高管關(guān)注的兩大風(fēng)險(xiǎn)。該調(diào)查涵蓋了美國、英國、歐洲和亞太地區(qū)的各個(gè)行業(yè)領(lǐng)域。

隨著許多數(shù)據(jù)泄露和勒索軟件攻擊事件已經(jīng)成為頭條新聞，并帶來相關(guān)的災(zāi)難性后果，例如業(yè)務(wù)關(guān)閉、財(cái)務(wù)/收入損失、聲譽(yù)受損等，許多企業(yè)董事會成員和高管已經(jīng)意識到，網(wǎng)絡(luò)安全不再單是一個(gè)IT方面的問題，而且也是業(yè)務(wù)方面的問題。

此外，根據(jù)RSA的業(yè)務(wù)創(chuàng)新安全委員會日前發(fā)布的一份白皮書，網(wǎng)絡(luò)安全已經(jīng)發(fā)展到風(fēng)險(xiǎn)和相關(guān)成本如今屬于企業(yè)董事會的受托責(zé)任范圍。

甚至有的用戶提起訴訟，要求企業(yè)董事成員和高管承擔(dān)個(gè)人責(zé)任，聲稱如果發(fā)生網(wǎng)絡(luò)安全事件應(yīng)該承擔(dān)責(zé)任。因此，該群體可能成為最大限度降低企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要力量。

盡管如此，研究發(fā)現(xiàn)許多首席信息安全官出于各種原因難以向董事成員和高管解釋保護(hù)企業(yè)系統(tǒng)、數(shù)據(jù)和資產(chǎn)所需的資源、承諾和預(yù)算。這方面的一個(gè)例子涉及將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)化為業(yè)務(wù)風(fēng)險(xiǎn)的需要，這是企業(yè)董事會成員所關(guān)注的問題。這些風(fēng)險(xiǎn)及其對業(yè)務(wù)的可怕影響并不總是在所有行業(yè)中都顯而易見，因此應(yīng)該清楚而簡潔地傳達(dá)給企業(yè)董事會成員和高管。

企業(yè)董事會成員和高管需要知道什么？

在通常情況下，企業(yè)董事會成員和高管在網(wǎng)絡(luò)安全方面擁有不同程度的知識。有些人精通技術(shù)并密切關(guān)注網(wǎng)絡(luò)安全趨勢，而另一些人則對企業(yè)網(wǎng)絡(luò)安全中包含的大量主題有模糊的理解。

無論董事會成員可能知道些什么，他們通常都希望聽取首席信息安全官的報(bào)告，說明企業(yè)目前識別其最關(guān)鍵資產(chǎn)的能力、保護(hù)這些資產(chǎn)的防御計(jì)劃，以及企業(yè)在多大程度上執(zhí)行該計(jì)劃以管理風(fēng)險(xiǎn)和漏洞。

首席信息安全官的報(bào)告應(yīng)讓企業(yè)領(lǐng)導(dǎo)層了解安全團(tuán)隊(duì)看到的威脅和漏洞，以及為減輕這些威脅而采取的主動行動。必須清楚地了解這些威脅和漏洞如何影響業(yè)務(wù)功能。該報(bào)告還應(yīng)該討論應(yīng)對這些威脅的長期戰(zhàn)略、目標(biāo)、投資和相關(guān)的投資回報(bào)率，以及實(shí)現(xiàn)目標(biāo)的明確進(jìn)展的更新。

以下是首席信息安全官需要為企業(yè)董事會成員和高管回答的一些基本問題：

• 面臨的風(fēng)險(xiǎn)是什么?
• 網(wǎng)絡(luò)安全團(tuán)隊(duì)對此做了什么?
• 團(tuán)隊(duì)是否具備做出正確決策，并迅速采取行動所需的條件?
• 企業(yè)資產(chǎn)、數(shù)據(jù)和系統(tǒng)是否安全?
• 怎么知道企業(yè)是否被網(wǎng)絡(luò)攻擊了?
• 企業(yè)的安全計(jì)劃與業(yè)內(nèi)其他公司相比如何?
• 是否有足夠的資源用于安全計(jì)劃?
• 計(jì)劃有多有效，投資是否正確?

成功地?cái)⑹龉适?/h4>

無論董事會成員的知識水平如何，通常建議首席信息安全官通過簡短地?cái)⑹龉适伦屆總€(gè)人快速了解企業(yè)的網(wǎng)絡(luò)安全狀態(tài)、態(tài)勢和防御計(jì)劃的背景。這其中包括概述當(dāng)前的威脅形勢，這意味著可能面臨的風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊者。其故事還應(yīng)該提到當(dāng)前應(yīng)對網(wǎng)絡(luò)攻擊者的對策以及如何使用企業(yè)的安全系統(tǒng)進(jìn)行抵御。

如果首席信息安全官有具體的例子說明網(wǎng)絡(luò)攻擊者如何攻擊他們的公司以及采取了哪些措施，那么就更好了。盡管如此，如果這些網(wǎng)絡(luò)攻擊發(fā)生在幾年前，他們應(yīng)該列舉值得關(guān)注的網(wǎng)絡(luò)攻擊事件，例如Apache Log4j、SolarWinds、JBS、Capital One、Facebook、Equifax、OPM、雅虎、摩根大通等知名廠商遭遇的網(wǎng)絡(luò)攻擊。最好使用與所在行業(yè)相關(guān)的示例，而不是引用與企業(yè)沒有相似之處的隨機(jī)事件。這些網(wǎng)絡(luò)攻擊和實(shí)際破壞有助于為影響企業(yè)業(yè)務(wù)運(yùn)營的內(nèi)容創(chuàng)建場景。

在此不建議審查特定的新工具或技術(shù)，因?yàn)樗粫榉前踩珡臉I(yè)者提供價(jià)值。但是，如果由于首席執(zhí)行官或董事會在上次會議上批準(zhǔn)的工具或設(shè)備而阻止或減輕了網(wǎng)絡(luò)安全事件，那么需要提到這一舉措。這應(yīng)該嵌入到故事中，但采用安全工具或技術(shù)不應(yīng)該成為故事本身。這使首席信息官能夠讓首席執(zhí)行官和董事會成員感到滿意，同時(shí)實(shí)現(xiàn)本次會議的預(yù)期成果。

如果必須提及技術(shù)項(xiàng)目，那么必須轉(zhuǎn)化為董事會成員/首席執(zhí)行官可以關(guān)聯(lián)和能夠理解的風(fēng)險(xiǎn)，這需要場景和含義。它將被簡單地描述為任何其他業(yè)務(wù)風(fēng)險(xiǎn)，例如，“這種風(fēng)險(xiǎn)可能會發(fā)生，這就是它發(fā)生時(shí)帶來的不利影響。”

通過將技術(shù)項(xiàng)目呈現(xiàn)為業(yè)務(wù)問題，更容易獲得必要的資金和人員等資源，以快速消除風(fēng)險(xiǎn)。

通過選擇正確的衡量標(biāo)準(zhǔn)來建立信任

建議使用一些定性和定量的策略和指標(biāo)來建立信任，而不是可能在15分鐘展示時(shí)呈現(xiàn)難以解釋的技術(shù)或運(yùn)營指標(biāo)。以下是可供選擇的選項(xiàng)的簡短列表(通常建議共享3～4個(gè)相關(guān)指標(biāo))。

• 進(jìn)行風(fēng)險(xiǎn)評估和發(fā)現(xiàn)風(fēng)險(xiǎn)。
• 計(jì)劃的桌面練習(xí)和模擬，需要董事會成員和高管的參與。
• 目前正在處理的首要安全重點(diǎn)，今年上半年和下半年的計(jì)劃是什么。
• 員工培訓(xùn)計(jì)劃和測試。
• 紅隊(duì)-藍(lán)隊(duì)模擬和報(bào)告的結(jié)果。
• 降低風(fēng)險(xiǎn)和提升企業(yè)安全狀況的其他舉措。
• 與應(yīng)用程序開發(fā)的安全集成(如果適用的話)。
• 企業(yè)根據(jù)風(fēng)險(xiǎn)承受能力和風(fēng)險(xiǎn)偏好接受的風(fēng)險(xiǎn)。
• 發(fā)現(xiàn)的新漏洞與已修復(fù)的漏洞。
• 補(bǔ)丁管理——日期、計(jì)劃、頻率。
• 事件和漏洞的數(shù)量。
• 未補(bǔ)救風(fēng)險(xiǎn)的數(shù)量以及未補(bǔ)救的原因(顯示正在處理的優(yōu)先事項(xiàng))。

對民族國家規(guī)模的網(wǎng)絡(luò)攻擊進(jìn)行討論

近年來，美國國家安全局(NSA)開發(fā)的一些網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)、技術(shù)和程序有了長足的發(fā)展，而網(wǎng)絡(luò)攻擊者在暗網(wǎng)上購買此類技術(shù)變得非常容易和快速。在過去，只有民族國家才能獲得這些技術(shù)和工具。然而如今，各種網(wǎng)絡(luò)犯罪團(tuán)伙都可以使用這樣的攻擊工具，而且他們每天都在大量使用這些工具，其中大多數(shù)是為了獲取經(jīng)濟(jì)利益，這給企業(yè)帶來了新的風(fēng)險(xiǎn)。

這些網(wǎng)絡(luò)攻擊團(tuán)體之間的合作有所增加，因此知識和工具共享使許多企業(yè)更有可能遭受民族國家規(guī)模的網(wǎng)絡(luò)攻擊。

人們已經(jīng)看到，這些網(wǎng)絡(luò)犯罪團(tuán)體往往受到其所在國家的保護(hù)，這意味著為這些網(wǎng)絡(luò)攻擊提供了幫助和條件。因此，企業(yè)通常需要額外的專業(yè)知識來處理這種威脅級別。首席信息安全官應(yīng)提出他們的想法，以應(yīng)對超出監(jiān)管要求的這些風(fēng)險(xiǎn)，并使企業(yè)的安全計(jì)劃成熟到超出當(dāng)前水平。

解釋投資回報(bào)率和網(wǎng)絡(luò)安全投資

由于網(wǎng)絡(luò)安全帶來了新的和持續(xù)的挑戰(zhàn)，投入再多資金也不可能消除風(fēng)險(xiǎn)，向董事會成員解釋這一點(diǎn)很重要。因此，在討論網(wǎng)絡(luò)安全投資時(shí)，應(yīng)該使用一些通用的基準(zhǔn)，但投資決策將根據(jù)整體安全計(jì)劃的成熟度、行業(yè)和其他因素而有所不同。

投資回報(bào)率的主題對于網(wǎng)絡(luò)安全來說可能有些復(fù)雜，因?yàn)槠放坡曌u(yù)價(jià)值、數(shù)據(jù)/個(gè)人信息安全的妥協(xié)以及潛在的法律成本等重要的因素更難量化。然而，毫無疑問，可以估算“假設(shè)”成本：

• 事件緩解可以防止損失。
• 每月預(yù)防的高級持續(xù)性威脅數(shù)量。
• 符合安全標(biāo)準(zhǔn)的系統(tǒng)百分比。

此外，大多數(shù)董事會成員和高管希望了解投資的效果，尤其是哪些投資對首席信息安全官最有意義、他們的意見等。建議首席信息安全官利用這個(gè)機(jī)會展示他們的商業(yè)敏銳性，并為這些決策增加價(jià)值。

結(jié)語

首席信息安全官是企業(yè)加強(qiáng)網(wǎng)絡(luò)安全的主要講述者和倡導(dǎo)者。他們負(fù)責(zé)制定企業(yè)的網(wǎng)絡(luò)安全計(jì)劃的愿景、價(jià)值觀和計(jì)劃。作為數(shù)據(jù)和網(wǎng)絡(luò)安全專家，他們對董事會成員和高管有重要的話要說。但如果他們沒有進(jìn)行適當(dāng)?shù)陌b，他們的數(shù)據(jù)和專業(yè)知識可能不會提供太大幫助。要使信息和預(yù)期結(jié)果得到傳播，需要將網(wǎng)絡(luò)安全問題和風(fēng)險(xiǎn)轉(zhuǎn)化為業(yè)務(wù)問題和風(fēng)險(xiǎn)。

以上建議基于作為大型企業(yè)首席信息安全官顧問的經(jīng)驗(yàn)，旨在為其他首席信息安全官提供實(shí)用的建議，幫助他們向其董事會成員和高管提交分析報(bào)告，以實(shí)現(xiàn)預(yù)期結(jié)果。