數(shù)據(jù)泄露、勒索軟件攻擊加劇了企業(yè)董事會對網(wǎng)絡(luò)安全的關(guān)注。安全領(lǐng)導表示,董事會越來越多地參與到安全事務中,對網(wǎng)絡(luò)問題有了更深刻的理解,并針對風險暴露和管理風險的方法提出了更復雜的問題。
盡管很多人仍然把安全看成是開展業(yè)務的一項成本,但越來越多的董事會成員將其視為業(yè)務的基礎(chǔ)。隨著眾多的企業(yè)加快了數(shù)字化轉(zhuǎn)型計劃,董事會想知道,在員工越來越分散的環(huán)境中,安全怎樣支持轉(zhuǎn)型舉措,滿足業(yè)務需求。
麥當勞公司首席信息官Timothy Youngblood說:“董事會越來越精于理解技術(shù)和安全問題。”他說:“這是因為他們在一定程度上受到了SEC的影響,自己也期望董事會具備一定水平的技術(shù)專長。”他們還得到了全國企業(yè)董事協(xié)會和其他機構(gòu)在網(wǎng)絡(luò)安全方面的大量指導。
因此,董事會現(xiàn)在向安全領(lǐng)導們提出的問題也發(fā)生了很大變化。據(jù)Youngblood等人的研究,以下列出了當今董事會最關(guān)心的6個問題。
01網(wǎng)絡(luò)問責
風險管理公司VigiTrust的首席執(zhí)行官、新書《董事會里的網(wǎng)絡(luò)大象》的作者Mathieu Gorge指出,首席信息安全官應做好更充分的準備,以回答董事會有關(guān)網(wǎng)絡(luò)問責的問題。Gorge介紹說,“網(wǎng)絡(luò)問責”指的是一個部門有能力證明他們有良好的網(wǎng)絡(luò)環(huán)境,如果出了問題,他們可以追溯所有問題,定位到某個具體的事件、人或者群體。
首席信息安全官應準備好解釋什么是網(wǎng)絡(luò)問責,企業(yè)為什么要關(guān)注它,怎樣開始網(wǎng)絡(luò)問責之旅,以及它包括什么。Gorge說:“這只是為了證明我們能夠應對網(wǎng)絡(luò)攻擊,而且我們有相應的計劃,還是不止于此?涉及到誰,花費多少,我們真的需要嗎?”
在闡明應對措施時,安全領(lǐng)導們應注意,董事會真正想聽到的是對企業(yè)整體生態(tài)系統(tǒng)的問責。這意味著,除了他們自己的部門之外,安全領(lǐng)導們還應該能夠描述他們怎樣讓特許經(jīng)營商、子公司、業(yè)務合作伙伴、供應商和其他第三方為實施安全最佳實踐負責。
這種生態(tài)系統(tǒng)可以是國際性的,由復雜而且往往相互沖突的條例和標準來監(jiān)管,所有這些都需要某種程度的問責。首席信息安全官需要準備好回答他們正在做什么,或者計劃做什么,以闡明自己的責任。“你是否能夠通過繪制生態(tài)系統(tǒng)圖來進行展示,是否能夠使用顯示正在發(fā)生什么的控件來進行展示,是否能夠闡明已經(jīng)對企業(yè)內(nèi)各個相關(guān)方的數(shù)據(jù)訪問權(quán)限進行了分類?”
02疫情及以后的安全態(tài)勢
商業(yè)支付服務公司Fleetcor的首席信息官James Edgar表示,疫情后人們轉(zhuǎn)向遠程工作,從而導致董事會在網(wǎng)絡(luò)安全方面提出的問題更加備受關(guān)注。
從IT和整個業(yè)務部門的角度來看,很多直接關(guān)注的焦點都集中在轉(zhuǎn)向遠程工作將怎樣影響業(yè)務運營方式上。這些問題涉及到企業(yè)是否有能力將大多數(shù)員工轉(zhuǎn)移到遠程工作模式,并且仍然能夠為業(yè)務提供支持。
Edgar說,他從董事會收到的問題包括與業(yè)務連續(xù)性有關(guān)的問題,以及疫情來襲時對已經(jīng)開始實施的主要IT項目會有什么影響等。“我們還能把我們最為重要的大事做好嗎?我們是否能維持當前的安全以及合規(guī)級別?我們的基準是什么,當我們走出新冠疫情時,我們還能達到這些標準嗎?”
隨著事態(tài)的穩(wěn)定,重點已經(jīng)轉(zhuǎn)移到企業(yè)在后疫情世界中維持其安全態(tài)勢的能力,以及將采取何種投資方式來實現(xiàn)這種能力。Edgar說,對他來說行之有效的一種策略是,每季度向董事會提供關(guān)于安全領(lǐng)域威脅形勢和重要趨勢的最新信息。他介紹說:“我們定期向他們提供我們在勒索軟件、端點保護、網(wǎng)絡(luò)監(jiān)控方面所看到的情況以及我們所做工作的最新信息。在安全問題上,我們Fleetcor不能獨善其身,而是放眼世界,兼濟天下。”
03安全策略
Youngblood說,與幾年前相比,董事會對網(wǎng)絡(luò)安全的思考更具戰(zhàn)略性。很多董事將網(wǎng)絡(luò)安全視為自己的本職工作,也是應盡的責任和忠誠義務。
Youngblood說:“你今天遇到的問題是,怎樣處理那些不受控制的事情,比如第三方的。”如今有這么多的外包業(yè)務,董事們想聽聽企業(yè)網(wǎng)絡(luò)安全投資是怎樣受到保護的。他們想了解企業(yè)從中得到了什么,以及是否有影響業(yè)務目標的因素。
Youngblood說,董事會喜歡聽到企業(yè)應對網(wǎng)絡(luò)事件的準備情況,以及在威脅成為重大問題之前是否有控制措施檢測到威脅。他們想知道,網(wǎng)絡(luò)安全是否與數(shù)字轉(zhuǎn)型鏈緊密相連,安全是否被內(nèi)置到每一個步驟中,而不是最后才加上去。他說,值得注意的是,董事會越來越想了解企業(yè)還沒有進行但可能對網(wǎng)絡(luò)風險產(chǎn)生不利影響的投資。
回答這些問題會很棘手,因此,讓首席信息官、首席產(chǎn)品官和其他相關(guān)方在董事會會議上也暢所欲言是不錯的主意。他說,在與董事會討論戰(zhàn)略安全問題時,你的發(fā)言一定不要讓首席信息官感到意外。了解董事會的風險偏好,確保將網(wǎng)絡(luò)風險置于企業(yè)風險管理的范圍內(nèi)。
Youngblood說:“我推薦的方法是從談論業(yè)務和業(yè)務成果開始。我不會以非常策略性的方式進行談話。”
04對照行業(yè)最佳實踐進行基準測試
云服務提供商Netenrich的首席信息官Brandon Hoffman指出,董事會對他們企業(yè)的安全狀況與同行相比有多好或多差非常感興趣。其中一個原因可能是,在出現(xiàn)泄露事件時,企業(yè)的安全措施往往會與行業(yè)最佳實踐或同行采用的做法進行比較。
Hoffman說:“最高層對了解與行業(yè)相關(guān)的風險有著濃厚的興趣。”這種比較本身往往對營造更安全、風險更小的環(huán)境沒有多大作用。即便如此,很多董事還是希望這樣做,因為在業(yè)務環(huán)境中,有效衡量安全性的方法很少。
Hoffman說:“首席信息安全官犯的最大錯誤之一是沒有將安全相關(guān)風險與業(yè)務風險聯(lián)系起來。相反,報告往往圍繞著合規(guī)框架和技術(shù)度量展開,這些充其量只是日常工作的指標。這確實無助于高管或者董事會理解對業(yè)務的影響。”
05抵御網(wǎng)絡(luò)攻擊
董事會不僅在戰(zhàn)略和企業(yè)風險管理層面上對網(wǎng)絡(luò)安全越來越感興趣,而且他們?nèi)匀簧钊雲(yún)⑴c與企業(yè)抵御和應對網(wǎng)絡(luò)攻擊能力相關(guān)的工作。Thycotic首席信息安全官顧問兼首席安全科學家Joseph Carson評論說,他們想知道你是如何使用人員、流程和技術(shù)來盡可能降低風險的,同時還要在工作效率和安全性之間保持適當?shù)钠胶狻?/p>
董事會可能會問及,首席信息安全官需要準備解釋的問題包括:關(guān)鍵業(yè)務服務暴露給勒索軟件等威脅的風險,以及為降低勒索軟件或其他攻擊對業(yè)務服務的影響而采取的措施等。他說:“哪種威脅最有可能影響業(yè)務,以及有哪些財務風險,降低風險有哪些選擇。我們的網(wǎng)絡(luò)風險差距有多大,比如降低風險的成本與不采取任何措施的成本相比如何?”
準備好回答有關(guān)事件響應計劃的問題,以及你是否已針對極有可能嚴重影響業(yè)務的每一種威脅進行了測試。Carson說:“我們應采取什么措施來細分業(yè)務的各個部分并控制訪問權(quán)限?我們超越了哪些法規(guī)和合規(guī)要求,滿足了哪些,未能滿足哪些,以及這些法規(guī)和合規(guī)要求怎樣與業(yè)務網(wǎng)絡(luò)風險相適應?”
06持續(xù)合規(guī)
Gorge說,應準備好討論持續(xù)合規(guī)和持續(xù)安全性。董事會成員往往會問,在網(wǎng)絡(luò)安全方面的投資需要多長時間才能讓公司得到回報。他說:“人們會問,'好吧,我們就這么試一次,那么今后好幾年都會保持得不錯,對嗎?還是需要我們持續(xù)的投入?”
Gorge說,在此,首席信息安全官和其他安全領(lǐng)導們應引入這樣一種理念:安全與合規(guī)是一個過程,而不是終點。他們應闡明,隨著業(yè)務的發(fā)展,安全需求也在不斷變化。重要的是,安全領(lǐng)導們要強調(diào)在網(wǎng)絡(luò)安全方面持續(xù)投資的必要性,包括資金、時間和精力等。解釋在3~5年的時間里,這些投資將怎樣降低成本、提高安全性、增強客戶信心并帶來其他切實的好處。
Gorge說:“在網(wǎng)絡(luò)問責和持續(xù)合規(guī)的雙重背景下,首席信息安全官面臨的最大挑戰(zhàn)是展示網(wǎng)絡(luò)安全怎樣成為一種業(yè)務推動因素,而不僅僅是花錢。與其說‘如果我們不這么做,可能會發(fā)生安全事故’,不如展示一下怎樣利用現(xiàn)有的模式,一種真正增加價值的方式,將網(wǎng)絡(luò)安全納入資產(chǎn)負債表。”