董事會(huì)一定會(huì)問的五類安全問題

如今的董事會(huì)所擁有的信息來源越來越多并且在質(zhì)疑公司安全計(jì)劃的效果時(shí)準(zhǔn)備得更加充分。為了在遠(yuǎn)程團(tuán)隊(duì)日益增長的網(wǎng)絡(luò)安全威脅環(huán)境中實(shí)現(xiàn)數(shù)字化目標(biāo)，他們與安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人的對(duì)話也變得更加復(fù)雜和細(xì)致。

因此，他們根本不可能會(huì)問一些基本的問題，比如我們有多安全？為什么我們?nèi)ツ陝倓偱鷾?zhǔn)了X，現(xiàn)在又需要在安全方面投入更多的資金？你說我們被“黑”了一百次是什么意思？相反，董事會(huì)將進(jìn)行更加具體、精準(zhǔn)的探詢。

安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人往往難以回答董事會(huì)因媒體報(bào)道而提出的問題，這導(dǎo)致企業(yè)領(lǐng)導(dǎo)人和技術(shù)領(lǐng)導(dǎo)人之間信任的破裂。

因此，您所準(zhǔn)備的回答應(yīng)該將討論引向保證、合規(guī)和對(duì)安全實(shí)踐的支持。除了個(gè)別董事會(huì)成員感興趣和關(guān)注的事情之外，整個(gè)董事會(huì)關(guān)心以下三件事情：

●   收入/任務(wù)：運(yùn)營或非運(yùn)營收入以及增強(qiáng)非收入任務(wù)目標(biāo)

●   成本：避免未來成本以及大幅減少運(yùn)營費(fèi)用

●   風(fēng)險(xiǎn)：金融、市場、監(jiān)管合規(guī)和安全、創(chuàng)新、品牌以及聲譽(yù)

董事會(huì)所提出的問題可以分為以下五個(gè)類別：

事件類問題

問題內(nèi)容：怎么會(huì)這樣？我以為你已經(jīng)控制住局面了？什么地方出了問題？

提問原因：當(dāng)一個(gè)事件或事情發(fā)生后并且董事會(huì)已經(jīng)知道或者首席信息安全官（CISO）正在通知他們時(shí)，就會(huì)出現(xiàn)此類問題。這一點(diǎn)在目前尤為明顯，因?yàn)槎聲?huì)可能會(huì)在大部分員工在家辦公的情況下問一些關(guān)于企業(yè)機(jī)構(gòu)安全的具體問題。此類問題也可能出現(xiàn)在任何其他事件中，包括可能已經(jīng)影響到整個(gè)企業(yè)機(jī)構(gòu)的數(shù)據(jù)泄露。

如何回應(yīng)：有些事件（無論哪種類型）是不可避免的，所以應(yīng)接受事實(shí)。分享您所知道的以及您正在做的工作，挖掘您還不知道的事情。簡而言之，接受事件、提供關(guān)于業(yè)務(wù)影響的詳細(xì)信息、概述需要解決的弱點(diǎn)或差距并提供緩解計(jì)劃。

在董事會(huì)面前應(yīng)注意不要只提供一個(gè)選項(xiàng)作為最終選擇。雖然安全領(lǐng)導(dǎo)人仍承擔(dān)安全和風(fēng)險(xiǎn)監(jiān)督職責(zé)，但責(zé)任始終由董事會(huì)/高管界定。

權(quán)衡類問題

問題內(nèi)容：我們100%安全嗎？你確定嗎？

提問原因：這樣的問題往往來自于那些沒有真正理解安全和業(yè)務(wù)影響的董事會(huì)成員。要做到100%的安全或保護(hù)是不可能的。您的職責(zé)是確定具有最高風(fēng)險(xiǎn)的領(lǐng)域并根據(jù)業(yè)務(wù)需求通過分配有限的資源來管理它們。

如何回應(yīng)：一開始可以這樣說：“由于威脅環(huán)境在不斷演變，我們不可能消除所有信息風(fēng)險(xiǎn)來源。我的職責(zé)是采取控制措施來管理風(fēng)險(xiǎn)。隨著業(yè)務(wù)的增長，我們必須不斷重新評(píng)估合適的風(fēng)險(xiǎn)級(jí)別。我們的目標(biāo)是建立一個(gè)可持續(xù)的計(jì)劃來平衡安全需求和業(yè)務(wù)經(jīng)營需求?！?/p>

處境類問題

問題內(nèi)容：外面的情況有多糟？在X公司發(fā)生的事情怎么樣了？與其他公司相比，我們的情況如何？

提問原因：董事會(huì)成員會(huì)通過威脅報(bào)告、文章、博客和監(jiān)管壓力來了解風(fēng)險(xiǎn)。他們總是會(huì)問別人在做什么，尤其是同行企業(yè)機(jī)構(gòu)，而且想知道自身的處境并與其他企業(yè)機(jī)構(gòu)進(jìn)行比較。

如何回應(yīng)：避免猜測引起其他公司安全問題的根本原因，而是回答：“在獲得更多信息之前，我不想猜測X公司的事情。但在我了解到更多信息后，我將十分樂意與您分享。”可以考慮討論一系列更加廣泛的安全對(duì)策，例如確定類似的弱點(diǎn)以及如何更新業(yè)務(wù)連續(xù)性計(jì)劃等。

風(fēng)險(xiǎn)類問題

問題內(nèi)容：我們知道我們面對(duì)的是哪些風(fēng)險(xiǎn)嗎？什么事情讓你夜不成寐？

提問原因：董事會(huì)知道接受風(fēng)險(xiǎn)是一種選擇（如果他們不知道，那么您就需要解決這一問題），但他們想知道公司風(fēng)險(xiǎn)是否得到了妥善的處理，所以您應(yīng)該做好解釋企業(yè)機(jī)構(gòu)風(fēng)險(xiǎn)容忍度的準(zhǔn)備，以便為風(fēng)險(xiǎn)管理決策辯護(hù)。

如何回應(yīng)：解釋風(fēng)險(xiǎn)管理決策對(duì)業(yè)務(wù)的影響并確保有證據(jù)支持您的觀點(diǎn)。第二個(gè)部分至關(guān)重要，因?yàn)槎聲?huì)會(huì)根據(jù)風(fēng)險(xiǎn)容忍度來做出決策。任何高于容忍度閾值的風(fēng)險(xiǎn)都需要采取補(bǔ)救措施將其控制在安全范圍內(nèi)，但這不一定需要在短時(shí)間內(nèi)做出巨大的變化，所以應(yīng)注意不要反應(yīng)過度。

董事會(huì)希望您保證您正在充分管理重大風(fēng)險(xiǎn)并且在某些情況下應(yīng)采取溫和的長期策略。請記住，董事會(huì)要對(duì)“整個(gè)企業(yè)”的風(fēng)險(xiǎn)負(fù)責(zé)，而網(wǎng)絡(luò)風(fēng)險(xiǎn)雖然很重要，但也只是其中的一小部分。您應(yīng)該要求自己做到簡明扼要。缺乏控制不是風(fēng)險(xiǎn)，尚未出現(xiàn)的下一個(gè)巨大威脅也不是風(fēng)險(xiǎn)。專注于您能夠控制的高價(jià)項(xiàng)目上，例如知識(shí)產(chǎn)權(quán)損失、監(jiān)管和第三方風(fēng)險(xiǎn)。

績效類問題

問題內(nèi)容：我們是否合理分配了資源？我們的開支是否足夠？我們?yōu)槭裁匆ㄟ@么多錢？

提問原因：董事會(huì)想要確認(rèn)安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人沒有在停滯不前并希望了解各項(xiàng)指標(biāo)和投資回報(bào)率。

如何回應(yīng)：可以使用平衡記分卡方法，這種方法運(yùn)用的是一種簡單的交通信號(hào)燈機(jī)制。最上面的一層應(yīng)表示業(yè)務(wù)愿望和企業(yè)機(jī)構(gòu)在這些愿望方面的表現(xiàn)。盡可能從業(yè)務(wù)績效（而不是技術(shù)）的角度來解釋這些愿望，并且應(yīng)該使用一系列通過一套客觀標(biāo)準(zhǔn)評(píng)估的安全衡量指標(biāo)來支撐績效。