作者 Allen Ari Dziwa,CISSP,CCSP,克利夫兰联邦储备银行的风险专家和行业专家。他在技术和网络安全咨询方面已经有15年经验。Allen目前是ISSA北德克萨斯州的董事会成员,E-Council的道德黑客顾问委员会成员,并为ISC2的CISSP审查做出贡献。他是一名经过认证的道德黑客和威胁情报分析员。
董事会的目的是提供治理并问责高级管理层,包括在既定的网络风险偏好内实施网络安全战略。任何组织的目标都是通过商业活动创造收入,这在大多数情况下涉及到使用在互联网上公开的技术和系统。使用处理和存储数据的技术和系统具有固有的风险,可能导致数据的保密性、完整性和可用性的丧失。组织将永远无法消除这种固有风险,但可以将其减少到可接受的水平,这取决于既定的网络风险偏好。网络风险偏好可以被视为公司董事会在寻求实现战略业务目标时愿意接受的网络风险的总水平和类型。当董事会根据首席风险官和第二道防线专家的建议设定企业范围内的风险偏好时,这个团队也会以某种程度的细化来定义组织的网络风险偏好。监测和管理这种网络风险是向董事会报告网络安全的核心。
但为什么董事会要求这种报告?他们需要这些信息,以使他们能够做出有助于确保高级管理层坚持正确管理技术和网络风险的决策,这对于避免可能的收入、声誉损失,甚至面临严重的法律风险至关重要。因此,有效的风险报告意味着提供给董事会的信息应该有助于帮助董事会在适当的时间做出正确的决定,以满足企业的战略需要。通过信息系统管理(MIS),高级管理层应该能够将技术术语翻译成商业语言,解释网络风险如何影响运营以及对运营的影响如何影响创收活动。属于运营风险的网络风险应该明确地传达给董事会,通常是通过指定的董事会风险委员会,该委员会最好有至少一名精通业务和技术的董事会成员。
网络安全被视为一个粗略关注的成本中心的时代已经过去了,但网络安全和技术应该被视为业务推动者,是组织使命(包括销售产品服务)不可分割的组成部分。如果一个公司的核心业务不是出售网络安全服务以获取费用,那么以前很可能认为网络安全支出是一个成本中心,占用了一定比例的预算,与创收没有明确的联系。
一些利益相关者认为,通过简单地创建指标,他们就能有效地向董事会报告。问题是这些指标是否有助于做出有意义的战略决策。许多组织使用关键风险指标(KRI),如果某些阈值超出既定偏好,这些指标可以作为早期预警指标。一些公司创建的关键绩效指标由于校准不当而从未被突破,这使得此类指标与决策无关。高级管理层应该能够证明为什么网络安全指标所表达的网络风险会对公司的运营稳健性产生不利影响,以及董事会需要做什么,比如批准一项投资以避免可能使公司损失收入和品牌损害的漏洞。
例如,如果网络安全指标显示国家支持的威胁行为者一直试图用勒索软件来攻击一家公司,那么高级管理层可以将其作为证据提交给董事会,以做出可能的投资决定。在进行成本/效益分析后的投资,可能是公司需要投资于一个备份基础设施,如热站点,特别是如果面临风险的数据对公司的核心业务至关重要。
另一个例子是关键绩效指标(KPI),显示公司在补救可能直接影响运营和底线的已识别漏洞方面是否落后,并将该信息作为雇佣额外技术人员的基础,以加快补救活动。这种网络安全指标有助于帮助管理层向董事会提出战略需求。许多组织用一些深奥的、传达不相关信息的指标汇编让他们的董事会成员不知所措。
对于像医疗保健这样的受监管行业,网络安全指标也应使董事会能够评估高级管理层是否遵守法律法规。这也需要对网络安全指标进行仔细和适当的构思汇编,以明确的方式告知董事会公司是如何保持合规的。为了确保网络安全报告不被第一道防线,即首席信息安全官(CISO)领导下的团队误报,最理想的做法是由独立的第二道防线在董事会查看之前审查并质疑指标的相关性和准确性。
重要的是要记住,董事会有保护股东利益的信托责任,他们的所有决定都是为了最终实现这一目标。因此,必须认识到,网络安全指标应能洞察公司的网络风险状况。网络风险概况应明确指出它如何影响创收活动或因法律风险和品牌损害可能产生的财务风险。高级管理层可以通过适当地操作风险偏好,将网络风险与核心业务风险联系起来。当一家公司表示其风险偏好中等时,必须通过使用量化限制将其转化为风险阈值。这些限制应成为估计可能的业务影响的基础。
欲了解有关CISO应该演示什么,如何演示,以及你希望的关键信息是什么,请阅读《董事会、仪表盘和厌烦》作者:Jon France,CISSP,ISC2 CISO。