以下是安全領導者如何在董事會中引起共鳴的實用建議。

將風險轉化為金錢

董事會并非由技術人員組成，大多數成員來自財務、法律或運營部門，他們從業務表現、責任和股東價值的角度思考。

因此，不要帶著威脅源或補丁統計數據出現，專注于對他們重要的事情。例如：

• 勒索軟件攻擊如何可能使營收中斷一周

• 審計失敗可能如何影響客戶信任

• 數據泄露可能如何觸發監管罰款

在與董事會交流時，網絡安全領導者需要從技術術語轉向風險和財務語言。“董事會從概率和財務影響的角度思考，而不是技術術語，”Optiv全球網絡風險和董事會關系副總裁詹姆斯·圖爾加爾(James Turgal)說。

為了使網絡風險引起共鳴，圖爾加爾使用風險量化模型，如FAIR(信息風險因素分析)。這些模型允許CISO用董事會能理解的方式表達威脅。“我首先估計三件事：壞事可能發生的頻率、可能造成的損失以及在品牌、銷售或市場份額方面的業務影響。”他解釋道。

圖爾加爾不談論惡意軟件變種或攻擊向量，而是呈現場景，如：“今年勒索軟件攻擊的風險為5%，如果發生，平均損失將為450萬美元。”他還將網絡風險與具體的業務結果聯系起來。例如，他可能會展示客戶門戶被入侵如何因服務中斷和客戶流失而在一個季度內減少8%的營收。

“每位首席財務官都知道系統停機導致的每日運營損失數字，”圖爾加爾指出。“CISO只需進行計算。”

圖爾加爾還建議將網絡風險與董事會已經使用的財務指標對齊，如風險價值。“如果我們不升級云安全控制，我們預計年度損失敞口為120萬美元，”他可能會說。這有助于將技術決策轉化為董事會可以權衡和采取行動的底線后果。

關注趨勢，使用通俗語言

董事會不需要每個威脅警報，但他們確實想知道情況是在變好還是變壞。向他們展示一段時間內的進展。例如：

• 釣魚嘗試和響應時間的季度趨勢

• 顯示員工在模擬攻擊中的點擊率的指標

• 將當前風險水平與上一季度進行比較的記分卡

突出異常值。什么在惡化?什么在控制之中?對差距保持透明，并說明你正在采取什么措施來彌補它們。

避免使用術語。說“罪犯入侵了”而不是“未經授權的訪問”。說“他們加密了我們的文件并要求贖金”而不是“勒索軟件事件”，然后，用簡單的視覺輔助工具來支持你的觀點。餅圖或風險熱圖比滿是數字的電子表格有效得多。

保持更新簡短。董事會會議時間緊張。不要用細節淹沒他們。目標是進行一次五分鐘的更新，包含清晰的要點：什么變了?風險是什么?你有什么建議?

“面對復雜的技術主題和不斷演變的威脅，典型的時間段往往不足以進行有意義的對話。安全領導者可以通過提前準備簡潔、以業務為中心的簡報材料，并優先討論最關鍵的問題來解決這個問題。當時間限制持續存在時，他們應該倡導召開專門會議，以確保對網絡安全事務進行適當的監督。”Team8的駐場CISO羅斯·楊(Ross Young)說。

將安全與業務目標聯系起來

為了將網絡安全與業務目標對齊，CISO必須了解公司的核心使命，并確定安全與該使命的交集。“一個例子是創建一個關于網絡安全如何保護營收和增長的談話框架，”圖爾加爾說。當信任受到損害時，后果是即時的：影響銷售、品牌忠誠度，并最終影響市場份額。

據圖爾加爾稱，這種對齊往往歸結為將特定的安全舉措與公司的戰略目標聯系起來。例如，如果企業正在擴展到國際市場，CISO可以通過獲得網絡安全認證(如ISO 27001)或與GDPR隱私框架對齊來支持這一目標。這些不僅降低了風險，還有助于在新地區建立信譽。

在與董事會溝通時，圖爾加爾建議將網絡安全舉措映射到股東價值上。“如果業務目標是保護股東價值，那么這與業務連續性和提高運營正常運行時間有直接聯系。”為了支持這一點，安全領導者可能會通過容器化不可變備份、災難恢復和事件響應計劃來提高網絡韌性——這些工具可以減輕損害品牌的攻擊并防止股價波動。

合規性是安全與業務戰略相交的另一個領域。“如果業務目標是保持合規性并避免或減少罰款，那么網絡安全的關聯將是投資和實施合規自動化應用程序和安全控制，”圖爾加爾解釋道。這些措施確保與PCI-DSS、SOX或HIPAA等法規保持一致，具體取決于組織的行業。

預測董事會問題

在每次會議前，問自己：

• 他們現在最關心什么風險?

• 是否有他們會問我的頭條新聞?

• 我需要他們做出什么決定?

以這些問題為框架準備你的更新。并練習回答諸如以下問題：

• 我們做得夠嗎?

• 我們與同行相比如何?

• 這會發生在我們身上嗎?

不要害怕說“我不知道”，但總是要跟進說“我會查明并回復你”。

每次董事會會議后，跟進一份書面總結：你展示了什么，你得到了什么反饋，以及做出了什么決定，這建立了責任感并展示了專業性，它還有助于在優先級發生變化或預算削減時。你將有一個記錄，說明達成了什么共識，以及為什么它很重要。

在董事會外建立關系

一些最有成效的對話并不發生在會議中，它們發生在喝咖啡時，或與個別董事會成員的通話中。

如果可能，與董事安排一對一會議，向他們介紹關鍵風險，問他們想了解更多什么。找出他們更喜歡如何接收信息。

通過在會議外建立融洽關系，你在會議中將面臨更少的意外。

你在董事會中的最強盟友通常是首席財務官和法律負責人，他們理解風險和責任，并說董事會的語言。

與他們合作來塑造你的信息。請他們檢驗你的數據，并幫助完善風險的財務影響。如果他們支持你，你的信息將更有分量。

擁有健康董事會關系的CISO往往在整個組織中有更好的協作。根據最近的Splunk研究，他們也更有可能被賦予追求生成性AI用例的能力，如創建威脅檢測規則、分析數據源、事件響應和取證調查，以及主動威脅狩獵。