网络安全如今已经成为企业董事会成员越来越关注的一个主要话题。在研究机构去年进行的一项全球调查中,将网络攻击和数据丢失列为与新冠疫情相关的变化(例如在家远程工作、混合工作和云迁移)导致企业董事会成员和高管关注的两大风险。该调查涵盖了美国、英国、欧洲和亚太地区的各个行业领域。
随着许多数据泄露和勒索软件攻击事件已经成为头条新闻,并带来相关的灾难性后果,例如业务关闭、财务/收入损失、声誉受损等,许多企业董事会成员和高管已经意识到,网络安全不再单是一个IT方面的问题,而且也是业务方面的问题。
此外,根据RSA的业务创新安全委员会日前发布的一份白皮书,网络安全已经发展到风险和相关成本如今属于企业董事会的受托责任范围。
甚至有的用户提起诉讼,要求企业董事成员和高管承担个人责任,声称如果发生网络安全事件应该承担责任。因此,该群体可能成为最大限度降低企业网络风险的重要力量。
尽管如此,研究发现许多首席信息安全官出于各种原因难以向董事成员和高管解释保护企业系统、数据和资产所需的资源、承诺和预算。这方面的一个例子涉及将网络安全风险转化为业务风险的需要,这是企业董事会成员所关注的问题。这些风险及其对业务的可怕影响并不总是在所有行业中都显而易见,因此应该清楚而简洁地传达给企业董事会成员和高管。
企业董事会成员和高管需要知道什么?
在通常情况下,企业董事会成员和高管在网络安全方面拥有不同程度的知识。有些人精通技术并密切关注网络安全趋势,而另一些人则对企业网络安全中包含的大量主题有模糊的理解。
无论董事会成员可能知道些什么,他们通常都希望听取首席信息安全官的报告,说明企业目前识别其最关键资产的能力、保护这些资产的防御计划,以及企业在多大程度上执行该计划以管理风险和漏洞。
首席信息安全官的报告应让企业领导层了解安全团队看到的威胁和漏洞,以及为减轻这些威胁而采取的主动行动。必须清楚地了解这些威胁和漏洞如何影响业务功能。该报告还应该讨论应对这些威胁的长期战略、目标、投资和相关的投资回报率,以及实现目标的明确进展的更新。
以下是首席信息安全官需要为企业董事会成员和高管回答的一些基本问题:
- 面临的风险是什么?
- 网络安全团队对此做了什么?
- 团队是否具备做出正确决策,并迅速采取行动所需的条件?
- 企业资产、数据和系统是否安全?
- 怎么知道企业是否被网络攻击了?
- 企业的安全计划与业内其他公司相比如何?
- 是否有足够的资源用于安全计划?
- 计划有多有效,投资是否正确?
成功地叙述故事
无论董事会成员的知识水平如何,通常建议首席信息安全官通过简短地叙述故事让每个人快速了解企业的网络安全状态、态势和防御计划的背景。这其中包括概述当前的威胁形势,这意味着可能面临的风险和网络攻击者。其故事还应该提到当前应对网络攻击者的对策以及如何使用企业的安全系统进行抵御。
如果首席信息安全官有具体的例子说明网络攻击者如何攻击他们的公司以及采取了哪些措施,那么就更好了。尽管如此,如果这些网络攻击发生在几年前,他们应该列举值得关注的网络攻击事件,例如Apache Log4j、SolarWinds、JBS、Capital One、Facebook、Equifax、OPM、雅虎、摩根大通等知名厂商遭遇的网络攻击。最好使用与所在行业相关的示例,而不是引用与企业没有相似之处的随机事件。这些网络攻击和实际破坏有助于为影响企业业务运营的内容创建场景。
在此不建议审查特定的新工具或技术,因为它不会为非安全从业者提供价值。但是,如果由于首席执行官或董事会在上次会议上批准的工具或设备而阻止或减轻了网络安全事件,那么需要提到这一举措。这应该嵌入到故事中,但采用安全工具或技术不应该成为故事本身。这使首席信息官能够让首席执行官和董事会成员感到满意,同时实现本次会议的预期成果。
如果必须提及技术项目,那么必须转化为董事会成员/首席执行官可以关联和能够理解的风险,这需要场景和含义。它将被简单地描述为任何其他业务风险,例如,“这种风险可能会发生,这就是它发生时带来的不利影响。”
通过将技术项目呈现为业务问题,更容易获得必要的资金和人员等资源,以快速消除风险。
通过选择正确的衡量标准来建立信任
建议使用一些定性和定量的策略和指标来建立信任,而不是可能在15分钟展示时呈现难以解释的技术或运营指标。以下是可供选择的选项的简短列表(通常建议共享3~4个相关指标)。
- 进行风险评估和发现风险。
- 计划的桌面练习和模拟,需要董事会成员和高管的参与。
- 目前正在处理的首要安全重点,今年上半年和下半年的计划是什么。
- 员工培训计划和测试。
- 红队-蓝队模拟和报告的结果。
- 降低风险和提升企业安全状况的其他举措。
- 与应用程序开发的安全集成(如果适用的话)。
- 企业根据风险承受能力和风险偏好接受的风险。
- 发现的新漏洞与已修复的漏洞。
- 补丁管理——日期、计划、频率。
- 事件和漏洞的数量。
- 未补救风险的数量以及未补救的原因(显示正在处理的优先事项)。
对民族国家规模的网络攻击进行讨论
近年来,美国国家安全局(NSA)开发的一些网络攻击战术、技术和程序有了长足的发展,而网络攻击者在暗网上购买此类技术变得非常容易和快速。在过去,只有民族国家才能获得这些技术和工具。然而如今,各种网络犯罪团伙都可以使用这样的攻击工具,而且他们每天都在大量使用这些工具,其中大多数是为了获取经济利益,这给企业带来了新的风险。
这些网络攻击团体之间的合作有所增加,因此知识和工具共享使许多企业更有可能遭受民族国家规模的网络攻击。
人们已经看到,这些网络犯罪团体往往受到其所在国家的保护,这意味着为这些网络攻击提供了帮助和条件。因此,企业通常需要额外的专业知识来处理这种威胁级别。首席信息安全官应提出他们的想法,以应对超出监管要求的这些风险,并使企业的安全计划成熟到超出当前水平。
解释投资回报率和网络安全投资
由于网络安全带来了新的和持续的挑战,投入再多资金也不可能消除风险,向董事会成员解释这一点很重要。因此,在讨论网络安全投资时,应该使用一些通用的基准,但投资决策将根据整体安全计划的成熟度、行业和其他因素而有所不同。
投资回报率的主题对于网络安全来说可能有些复杂,因为品牌声誉价值、数据/个人信息安全的妥协以及潜在的法律成本等重要的因素更难量化。然而,毫无疑问,可以估算“假设”成本:
- 事件缓解可以防止损失。
- 每月预防的高级持续性威胁数量。
- 符合安全标准的系统百分比。
此外,大多数董事会成员和高管希望了解投资的效果,尤其是哪些投资对首席信息安全官最有意义、他们的意见等。建议首席信息安全官利用这个机会展示他们的商业敏锐性,并为这些决策增加价值。
结语
首席信息安全官是企业加强网络安全的主要讲述者和倡导者。他们负责制定企业的网络安全计划的愿景、价值观和计划。作为数据和网络安全专家,他们对董事会成员和高管有重要的话要说。但如果他们没有进行适当的包装,他们的数据和专业知识可能不会提供太大帮助。要使信息和预期结果得到传播,需要将网络安全问题和风险转化为业务问题和风险。
以上建议基于作为大型企业首席信息安全官顾问的经验,旨在为其他首席信息安全官提供实用的建议,帮助他们向其董事会成员和高管提交分析报告,以实现预期结果。