以下是安全領(lǐng)導(dǎo)者如何在董事會(huì)中引起共鳴的實(shí)用建議。

將風(fēng)險(xiǎn)轉(zhuǎn)化為金錢(qián)

董事會(huì)并非由技術(shù)人員組成，大多數(shù)成員來(lái)自財(cái)務(wù)、法律或運(yùn)營(yíng)部門(mén)，他們從業(yè)務(wù)表現(xiàn)、責(zé)任和股東價(jià)值的角度思考。

因此，不要帶著威脅源或補(bǔ)丁統(tǒng)計(jì)數(shù)據(jù)出現(xiàn)，專注于對(duì)他們重要的事情。例如：

• 勒索軟件攻擊如何可能使?fàn)I收中斷一周

• 審計(jì)失敗可能如何影響客戶信任

• 數(shù)據(jù)泄露可能如何觸發(fā)監(jiān)管罰款

在與董事會(huì)交流時(shí)，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要從技術(shù)術(shù)語(yǔ)轉(zhuǎn)向風(fēng)險(xiǎn)和財(cái)務(wù)語(yǔ)言。“董事會(huì)從概率和財(cái)務(wù)影響的角度思考，而不是技術(shù)術(shù)語(yǔ)，”Optiv全球網(wǎng)絡(luò)風(fēng)險(xiǎn)和董事會(huì)關(guān)系副總裁詹姆斯·圖爾加爾(James Turgal)說(shuō)。

為了使網(wǎng)絡(luò)風(fēng)險(xiǎn)引起共鳴，圖爾加爾使用風(fēng)險(xiǎn)量化模型，如FAIR(信息風(fēng)險(xiǎn)因素分析)。這些模型允許CISO用董事會(huì)能理解的方式表達(dá)威脅。“我首先估計(jì)三件事：壞事可能發(fā)生的頻率、可能造成的損失以及在品牌、銷售或市場(chǎng)份額方面的業(yè)務(wù)影響。”他解釋道。

圖爾加爾不談?wù)搻阂廛浖兎N或攻擊向量，而是呈現(xiàn)場(chǎng)景，如：“今年勒索軟件攻擊的風(fēng)險(xiǎn)為5%，如果發(fā)生，平均損失將為450萬(wàn)美元。”他還將網(wǎng)絡(luò)風(fēng)險(xiǎn)與具體的業(yè)務(wù)結(jié)果聯(lián)系起來(lái)。例如，他可能會(huì)展示客戶門(mén)戶被入侵如何因服務(wù)中斷和客戶流失而在一個(gè)季度內(nèi)減少8%的營(yíng)收。

“每位首席財(cái)務(wù)官都知道系統(tǒng)停機(jī)導(dǎo)致的每日運(yùn)營(yíng)損失數(shù)字，”圖爾加爾指出。“CISO只需進(jìn)行計(jì)算。”

圖爾加爾還建議將網(wǎng)絡(luò)風(fēng)險(xiǎn)與董事會(huì)已經(jīng)使用的財(cái)務(wù)指標(biāo)對(duì)齊，如風(fēng)險(xiǎn)價(jià)值。“如果我們不升級(jí)云安全控制，我們預(yù)計(jì)年度損失敞口為120萬(wàn)美元，”他可能會(huì)說(shuō)。這有助于將技術(shù)決策轉(zhuǎn)化為董事會(huì)可以權(quán)衡和采取行動(dòng)的底線后果。

關(guān)注趨勢(shì)，使用通俗語(yǔ)言

董事會(huì)不需要每個(gè)威脅警報(bào)，但他們確實(shí)想知道情況是在變好還是變壞。向他們展示一段時(shí)間內(nèi)的進(jìn)展。例如：

• 釣魚(yú)嘗試和響應(yīng)時(shí)間的季度趨勢(shì)

• 顯示員工在模擬攻擊中的點(diǎn)擊率的指標(biāo)

• 將當(dāng)前風(fēng)險(xiǎn)水平與上一季度進(jìn)行比較的記分卡

突出異常值。什么在惡化?什么在控制之中?對(duì)差距保持透明，并說(shuō)明你正在采取什么措施來(lái)彌補(bǔ)它們。

避免使用術(shù)語(yǔ)。說(shuō)“罪犯入侵了”而不是“未經(jīng)授權(quán)的訪問(wèn)”。說(shuō)“他們加密了我們的文件并要求贖金”而不是“勒索軟件事件”，然后，用簡(jiǎn)單的視覺(jué)輔助工具來(lái)支持你的觀點(diǎn)。餅圖或風(fēng)險(xiǎn)熱圖比滿是數(shù)字的電子表格有效得多。

保持更新簡(jiǎn)短。董事會(huì)會(huì)議時(shí)間緊張。不要用細(xì)節(jié)淹沒(méi)他們。目標(biāo)是進(jìn)行一次五分鐘的更新，包含清晰的要點(diǎn)：什么變了?風(fēng)險(xiǎn)是什么?你有什么建議?

“面對(duì)復(fù)雜的技術(shù)主題和不斷演變的威脅，典型的時(shí)間段往往不足以進(jìn)行有意義的對(duì)話。安全領(lǐng)導(dǎo)者可以通過(guò)提前準(zhǔn)備簡(jiǎn)潔、以業(yè)務(wù)為中心的簡(jiǎn)報(bào)材料，并優(yōu)先討論最關(guān)鍵的問(wèn)題來(lái)解決這個(gè)問(wèn)題。當(dāng)時(shí)間限制持續(xù)存在時(shí)，他們應(yīng)該倡導(dǎo)召開(kāi)專門(mén)會(huì)議，以確保對(duì)網(wǎng)絡(luò)安全事務(wù)進(jìn)行適當(dāng)?shù)谋O(jiān)督。”Team8的駐場(chǎng)CISO羅斯·楊(Ross Young)說(shuō)。

將安全與業(yè)務(wù)目標(biāo)聯(lián)系起來(lái)

為了將網(wǎng)絡(luò)安全與業(yè)務(wù)目標(biāo)對(duì)齊，CISO必須了解公司的核心使命，并確定安全與該使命的交集。“一個(gè)例子是創(chuàng)建一個(gè)關(guān)于網(wǎng)絡(luò)安全如何保護(hù)營(yíng)收和增長(zhǎng)的談話框架，”圖爾加爾說(shuō)。當(dāng)信任受到損害時(shí)，后果是即時(shí)的：影響銷售、品牌忠誠(chéng)度，并最終影響市場(chǎng)份額。

據(jù)圖爾加爾稱，這種對(duì)齊往往歸結(jié)為將特定的安全舉措與公司的戰(zhàn)略目標(biāo)聯(lián)系起來(lái)。例如，如果企業(yè)正在擴(kuò)展到國(guó)際市場(chǎng)，CISO可以通過(guò)獲得網(wǎng)絡(luò)安全認(rèn)證(如ISO 27001)或與GDPR隱私框架對(duì)齊來(lái)支持這一目標(biāo)。這些不僅降低了風(fēng)險(xiǎn)，還有助于在新地區(qū)建立信譽(yù)。

在與董事會(huì)溝通時(shí)，圖爾加爾建議將網(wǎng)絡(luò)安全舉措映射到股東價(jià)值上。“如果業(yè)務(wù)目標(biāo)是保護(hù)股東價(jià)值，那么這與業(yè)務(wù)連續(xù)性和提高運(yùn)營(yíng)正常運(yùn)行時(shí)間有直接聯(lián)系。”為了支持這一點(diǎn)，安全領(lǐng)導(dǎo)者可能會(huì)通過(guò)容器化不可變備份、災(zāi)難恢復(fù)和事件響應(yīng)計(jì)劃來(lái)提高網(wǎng)絡(luò)韌性——這些工具可以減輕損害品牌的攻擊并防止股價(jià)波動(dòng)。

合規(guī)性是安全與業(yè)務(wù)戰(zhàn)略相交的另一個(gè)領(lǐng)域。“如果業(yè)務(wù)目標(biāo)是保持合規(guī)性并避免或減少罰款，那么網(wǎng)絡(luò)安全的關(guān)聯(lián)將是投資和實(shí)施合規(guī)自動(dòng)化應(yīng)用程序和安全控制，”圖爾加爾解釋道。這些措施確保與PCI-DSS、SOX或HIPAA等法規(guī)保持一致，具體取決于組織的行業(yè)。

預(yù)測(cè)董事會(huì)問(wèn)題

在每次會(huì)議前，問(wèn)自己：

• 他們現(xiàn)在最關(guān)心什么風(fēng)險(xiǎn)?

• 是否有他們會(huì)問(wèn)我的頭條新聞?

• 我需要他們做出什么決定?

以這些問(wèn)題為框架準(zhǔn)備你的更新。并練習(xí)回答諸如以下問(wèn)題：

• 我們做得夠嗎?

• 我們與同行相比如何?

• 這會(huì)發(fā)生在我們身上嗎?

不要害怕說(shuō)“我不知道”，但總是要跟進(jìn)說(shuō)“我會(huì)查明并回復(fù)你”。

每次董事會(huì)會(huì)議后，跟進(jìn)一份書(shū)面總結(jié)：你展示了什么，你得到了什么反饋，以及做出了什么決定，這建立了責(zé)任感并展示了專業(yè)性，它還有助于在優(yōu)先級(jí)發(fā)生變化或預(yù)算削減時(shí)。你將有一個(gè)記錄，說(shuō)明達(dá)成了什么共識(shí)，以及為什么它很重要。

在董事會(huì)外建立關(guān)系

一些最有成效的對(duì)話并不發(fā)生在會(huì)議中，它們發(fā)生在喝咖啡時(shí)，或與個(gè)別董事會(huì)成員的通話中。

如果可能，與董事安排一對(duì)一會(huì)議，向他們介紹關(guān)鍵風(fēng)險(xiǎn)，問(wèn)他們想了解更多什么。找出他們更喜歡如何接收信息。

通過(guò)在會(huì)議外建立融洽關(guān)系，你在會(huì)議中將面臨更少的意外。

你在董事會(huì)中的最強(qiáng)盟友通常是首席財(cái)務(wù)官和法律負(fù)責(zé)人，他們理解風(fēng)險(xiǎn)和責(zé)任，并說(shuō)董事會(huì)的語(yǔ)言。

與他們合作來(lái)塑造你的信息。請(qǐng)他們檢驗(yàn)?zāi)愕臄?shù)據(jù)，并幫助完善風(fēng)險(xiǎn)的財(cái)務(wù)影響。如果他們支持你，你的信息將更有分量。

擁有健康董事會(huì)關(guān)系的CISO往往在整個(gè)組織中有更好的協(xié)作。根據(jù)最近的Splunk研究，他們也更有可能被賦予追求生成性AI用例的能力，如創(chuàng)建威脅檢測(cè)規(guī)則、分析數(shù)據(jù)源、事件響應(yīng)和取證調(diào)查，以及主動(dòng)威脅狩獵。