Jaikumar Vijayan Charles

數(shù)據(jù)泄露、勒索軟件攻擊以及對全球新冠疫情相關(guān)風(fēng)險(xiǎn)的擔(dān)憂，都加劇了企業(yè)董事會對網(wǎng)絡(luò)安全的關(guān)注。安全領(lǐng)導(dǎo)表示，董事會越來越多地參與到安全事務(wù)中，對網(wǎng)絡(luò)問題有了更深刻的理解，并針對風(fēng)險(xiǎn)暴露和管理風(fēng)險(xiǎn)的方法提出了更復(fù)雜的問題。

盡管很多人仍然把安全看成是開展業(yè)務(wù)的一項(xiàng)成本，但越來越多的董事會成員將其視為業(yè)務(wù)的基礎(chǔ)。隨著眾多的企業(yè)在疫情大爆發(fā)后加快了數(shù)字化轉(zhuǎn)型計(jì)劃，董事會想知道，在員工越來越分散的環(huán)境中，安全怎樣支持轉(zhuǎn)型舉措，滿足業(yè)務(wù)需求。

麥當(dāng)勞公司首席信息官Timothy Youngblood說：“董事會越來越精于理解技術(shù)和安全問題。”他說：“這是因?yàn)樗麄冊谝欢ǔ潭壬鲜艿搅薙EC的影響，自己也期望董事會具備一定水平的技術(shù)專長?！彼麄冞€得到了全國企業(yè)董事協(xié)會和其他機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的大量指導(dǎo)。

因此，董事會現(xiàn)在向安全領(lǐng)導(dǎo)們提出的問題也發(fā)生了很大變化。據(jù)Youngblood等人的研究，以下列出了當(dāng)今董事會最關(guān)心的6個(gè)問題。

1.網(wǎng)絡(luò)問責(zé)?

風(fēng)險(xiǎn)管理公司VigiTrust的首席執(zhí)行官、新書《董事會里的網(wǎng)絡(luò)大象》的作者M(jìn)athieu Gorge指出，首席信息安全官應(yīng)做好更充分的準(zhǔn)備，以回答董事會有關(guān)網(wǎng)絡(luò)問責(zé)的問題。Gorge介紹說，“網(wǎng)絡(luò)問責(zé)”指的是一個(gè)部門有能力證明他們有良好的網(wǎng)絡(luò)環(huán)境，如果出了問題，他們可以追溯所有問題，定位到某個(gè)具體的事件、人或者群體。

首席信息安全官應(yīng)準(zhǔn)備好解釋什么是網(wǎng)絡(luò)問責(zé)，企業(yè)為什么要關(guān)注它，怎樣開始網(wǎng)絡(luò)問責(zé)之旅，以及它包括什么。Gorge說：“這只是為了證明我們能夠應(yīng)對網(wǎng)絡(luò)攻擊，而且我們有相應(yīng)的計(jì)劃，還是不止于此？涉及到誰，花費(fèi)多少，我們真的需要嗎？”

在闡明應(yīng)對措施時(shí)，安全領(lǐng)導(dǎo)們應(yīng)注意，董事會真正想聽到的是對企業(yè)整體生態(tài)系統(tǒng)的問責(zé)。這意味著，除了他們自己的部門之外，安全領(lǐng)導(dǎo)們還應(yīng)該能夠描述他們怎樣讓特許經(jīng)營商、子公司、業(yè)務(wù)合作伙伴、供應(yīng)商和其他第三方為實(shí)施安全最佳實(shí)踐負(fù)責(zé)。

這種生態(tài)系統(tǒng)可以是國際性的，由復(fù)雜而且往往相互沖突的條例和標(biāo)準(zhǔn)來監(jiān)管，所有這些都需要某種程度的問責(zé)。首席信息安全官需要準(zhǔn)備好回答他們正在做什么，或者計(jì)劃做什么，以闡明自己的責(zé)任?！澳闶欠衲軌蛲ㄟ^繪制生態(tài)系統(tǒng)圖來進(jìn)行展示，是否能夠使用顯示正在發(fā)生什么的控件來進(jìn)行展示，是否能夠闡明已經(jīng)對企業(yè)內(nèi)各個(gè)相關(guān)方的數(shù)據(jù)訪問權(quán)限進(jìn)行了分類？”

2.疫情及以后的安全態(tài)勢

商業(yè)支付服務(wù)公司Fleetcor的首席信息官James Edgar表示，全球疫情促使人們轉(zhuǎn)向遠(yuǎn)程工作，從而導(dǎo)致董事會在網(wǎng)絡(luò)安全方面提出的問題更加備受關(guān)注。

從IT和整個(gè)業(yè)務(wù)部門的角度來看，很多直接關(guān)注的焦點(diǎn)都集中在轉(zhuǎn)向遠(yuǎn)程工作將怎樣影響業(yè)務(wù)運(yùn)營方式上。這些問題涉及到企業(yè)是否有能力將大多數(shù)員工轉(zhuǎn)移到遠(yuǎn)程工作模式，并且仍然能夠?yàn)闃I(yè)務(wù)提供支持。

Edgar說，他從董事會收到的問題包括與業(yè)務(wù)連續(xù)性有關(guān)的問題，以及疫情來襲時(shí)對已經(jīng)開始實(shí)施的主要IT項(xiàng)目會有什么影響等?！拔覀冞€能把我們最為重要的大事做好嗎？我們是否能維持當(dāng)前的安全以及合規(guī)級別？我們的基準(zhǔn)是什么，當(dāng)我們走出新冠疫情時(shí)，我們還能達(dá)到這些標(biāo)準(zhǔn)嗎？”

隨著事態(tài)的穩(wěn)定，重點(diǎn)已經(jīng)轉(zhuǎn)移到企業(yè)在后疫情世界中維持其安全態(tài)勢的能力，以及將采取何種投資方式來實(shí)現(xiàn)這種能力。Edgar說，對他來說行之有效的一種策略是，每季度向董事會提供關(guān)于安全領(lǐng)域威脅形勢和重要趨勢的最新信息。他介紹說：“我們定期向他們提供我們在勒索軟件、端點(diǎn)保護(hù)、網(wǎng)絡(luò)監(jiān)控方面所看到的情況以及我們所做工作的最新信息。在安全問題上，我們Fleetcor不能獨(dú)善其身，而是放眼世界，兼濟(jì)天下?！?h3>3.安全策略

Youngblood說，與幾年前相比，董事會對網(wǎng)絡(luò)安全的思考更具戰(zhàn)略性。很多董事將網(wǎng)絡(luò)安全視為自己的本職工作，也是應(yīng)盡的責(zé)任和忠誠義務(wù)。

Youngblood說：“你今天遇到的問題是，怎樣處理那些不受控制的事情，比如第三方的。”如今有這么多的外包業(yè)務(wù)，董事們想聽聽企業(yè)網(wǎng)絡(luò)安全投資是怎樣受到保護(hù)的。他們想了解企業(yè)從中得到了什么，以及是否有影響業(yè)務(wù)目標(biāo)的因素。

Youngblood說，董事會喜歡聽到企業(yè)應(yīng)對網(wǎng)絡(luò)事件的準(zhǔn)備情況，以及在威脅成為重大問題之前是否有控制措施檢測到威脅。他們想知道，網(wǎng)絡(luò)安全是否與數(shù)字轉(zhuǎn)型鏈緊密相連，安全是否被內(nèi)置到每一個(gè)步驟中，而不是最后才加上去。他說，值得注意的是，董事會越來越想了解企業(yè)還沒有進(jìn)行但可能對網(wǎng)絡(luò)風(fēng)險(xiǎn)產(chǎn)生不利影響的投資。

回答這些問題會很棘手，因此，讓首席信息官、首席產(chǎn)品官和其他相關(guān)方在董事會會議上也暢所欲言是不錯(cuò)的主意。他說，在與董事會討論戰(zhàn)略安全問題時(shí)，你的發(fā)言一定不要讓首席信息官感到意外。了解董事會的風(fēng)險(xiǎn)偏好，確保將網(wǎng)絡(luò)風(fēng)險(xiǎn)置于企業(yè)風(fēng)險(xiǎn)管理的范圍內(nèi)。

Youngblood說：“我推薦的方法是從談?wù)摌I(yè)務(wù)和業(yè)務(wù)成果開始。我不會以非常策略性的方式進(jìn)行談話。”

4.對照行業(yè)最佳實(shí)踐進(jìn)行基準(zhǔn)測試

云服務(wù)提供商N(yùn)etenrich的首席信息官Brandon Hoffman指出，董事會對他們企業(yè)的安全狀況與同行相比有多好或多差非常感興趣。其中一個(gè)原因可能是，在出現(xiàn)泄露事件時(shí)，企業(yè)的安全措施往往會與行業(yè)最佳實(shí)踐或同行采用的做法進(jìn)行比較。

Hoffman說：“最高層對了解與行業(yè)相關(guān)的風(fēng)險(xiǎn)有著濃厚的興趣。”這種比較本身往往對營造更安全、風(fēng)險(xiǎn)更小的環(huán)境沒有多大作用。即便如此，很多董事還是希望這樣做，因?yàn)樵跇I(yè)務(wù)環(huán)境中，有效衡量安全性的方法很少。

Hoffman說：“首席信息安全官犯的最大錯(cuò)誤之一是沒有將安全相關(guān)風(fēng)險(xiǎn)與業(yè)務(wù)風(fēng)險(xiǎn)聯(lián)系起來。相反，報(bào)告往往圍繞著合規(guī)框架和技術(shù)度量展開，這些充其量只是日常工作的指標(biāo)。這確實(shí)無助于高管或者董事會理解對業(yè)務(wù)的影響。”

5.抵御網(wǎng)絡(luò)攻擊

董事會不僅在戰(zhàn)略和企業(yè)風(fēng)險(xiǎn)管理層面上對網(wǎng)絡(luò)安全越來越感興趣，而且他們?nèi)匀簧钊雲(yún)⑴c與企業(yè)抵御和應(yīng)對網(wǎng)絡(luò)攻擊能力相關(guān)的工作。Thycotic首席信息安全官顧問兼首席安全科學(xué)家Joseph Carson評論說，他們想知道你是如何使用人員、流程和技術(shù)來盡可能降低風(fēng)險(xiǎn)的，同時(shí)還要在工作效率和安全性之間保持適當(dāng)?shù)钠胶狻?/p>

董事會可能會問及，首席信息安全官需要準(zhǔn)備解釋的問題包括：關(guān)鍵業(yè)務(wù)服務(wù)暴露給勒索軟件等威脅的風(fēng)險(xiǎn)，以及為降低勒索軟件或其他攻擊對業(yè)務(wù)服務(wù)的影響而采取的措施等。他說：“哪種威脅最有可能影響業(yè)務(wù)，以及有哪些財(cái)務(wù)風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)有哪些選擇。我們的網(wǎng)絡(luò)風(fēng)險(xiǎn)差距有多大，比如降低風(fēng)險(xiǎn)的成本與不采取任何措施的成本相比如何？”

準(zhǔn)備好回答有關(guān)事件響應(yīng)計(jì)劃的問題，以及你是否已針對極有可能嚴(yán)重影響業(yè)務(wù)的每一種威脅進(jìn)行了測試。Carson說：“我們應(yīng)采取什么措施來細(xì)分業(yè)務(wù)的各個(gè)部分并控制訪問權(quán)限？我們超越了哪些法規(guī)和合規(guī)要求，滿足了哪些，未能滿足哪些，以及這些法規(guī)和合規(guī)要求怎樣與業(yè)務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)相適應(yīng)？”

6.持續(xù)合規(guī)

Gorge說，應(yīng)準(zhǔn)備好討論持續(xù)合規(guī)和持續(xù)安全性。董事會成員往往會問，在網(wǎng)絡(luò)安全方面的投資需要多長時(shí)間才能讓公司得到回報(bào)。他說：“人們會問，'好吧，我們就這么試一次，那么今后好幾年都會保持得不錯(cuò)，對嗎？還是需要我們持續(xù)的投入？”

Gorge說，在此，首席信息安全官和其他安全領(lǐng)導(dǎo)們應(yīng)引入這樣一種理念：安全與合規(guī)是一個(gè)過程，而不是終點(diǎn)。他們應(yīng)闡明，隨著業(yè)務(wù)的發(fā)展，安全需求也在不斷變化。重要的是，安全領(lǐng)導(dǎo)們要強(qiáng)調(diào)在網(wǎng)絡(luò)安全方面持續(xù)投資的必要性，包括資金、時(shí)間和精力等。解釋在3～5年的時(shí)間里，這些投資將怎樣降低成本、提高安全性、增強(qiáng)客戶信心并帶來其他切實(shí)的好處。

Gorge說：“在網(wǎng)絡(luò)問責(zé)和持續(xù)合規(guī)的雙重背景下，首席信息安全官面臨的最大挑戰(zhàn)是展示網(wǎng)絡(luò)安全怎樣成為一種業(yè)務(wù)推動因素，而不僅僅是花錢。與其說‘如果我們不這么做，可能會發(fā)生安全事故，不如展示一下怎樣利用現(xiàn)有的模式，一種真正增加價(jià)值的方式，將網(wǎng)絡(luò)安全納入資產(chǎn)負(fù)債表。”

Jaikumar Vijayan是一位專注于計(jì)算機(jī)安全和隱私話題的自由技術(shù)作家。

原文網(wǎng)址

https：//www.csoonline.com/article/3601001/6-board-of-directors-security-concerns-every-ciso-should-be-prepared-to-address.html