董事会一定会问的5个安全问题

安全的电子书:2022年领导愿景

如今的董事会更了解情况，也更愿意质疑公司安全计划的有效性。他们有更复杂和微妙的对话与安全和风险管理领导者合作，这要归功于远程团队在日益增长的网络安全威胁中实现数字化目标的需求。

因此，他们不太可能会问这样的基本问题:我们有多安全?为什么我们需要更多的钱来保障安全，我们去年刚刚批准了X ?什么意思，我们被黑了一百次?相反,董事会他们的调查将会更加具体和精确。

导游:关于网络安全你需要知道的一切

“安全和风险管理领导者往往难以回应媒体报道塑造的董事会问题，这导致商业领袖和技术领袖之间的信任破裂，”他说山姆Olyaei， Gartner的董事分析师。

这取决于您准备的响应，将讨论引向安全实践的保证、遵从性和支持。除了个人的热情和担忧，董事会还共同关心三件事:

• 收入/任务:营业收入或营业外收入和加强非收入任务目标
• 成本:未来的成本避免和立即减少运营费用
• 风险:金融、市场、监管合规和安全、创新、品牌和声誉

董事会问题可以分为以下五类。

下载路线图:如何使您的信息安全计划成熟

事件问题

听起来是:这是怎么发生的?我以为一切都在你掌控之中?出了什么问题?

为什么问这个问题:当某个事件或事件已经发生，董事会要么已经知道，要么首席信息安全官(CISO)正在通知他们时，就会出现这些问题。这一点在现在尤其重要，因为董事会可能会问一些关于保护公司安全的具体问题，而大部分员工都在家工作。这些问题也可能出现在任何其他事件中，包括可能对组织产生总体影响的数据泄露。

如何回应:事件(无论何种类别)是不可避免的，所以要坚持事实。分享你所知道的以及你正在做的事情，以发现你还不知道的事情。简而言之，承认事件，提供业务影响的详细信息，概述需要解决的弱点或差距，并提供缓解计划。

在董事会面前，要谨慎，不要将某个选项作为最终选择。监督安全和风险的责任仍在安全领袖，但问责制必须始终在董事会/高管层面界定。

下载资讯科技路线图:网络安全策略

权衡问题

听起来是:我们是100%安全的吗?你确定吗?

为什么问这个问题:这样的问题通常来自于董事会成员，他们并不真正了解安全性及其对业务的影响。不可能做到100%的安全或保护。您的角色是确定风险最高的领域，并根据业务需求分配有限的资源来管理它们。

如何回应:可以这样开始:“考虑到威胁环境的不断变化的性质，不可能消除所有的信息风险来源。我的职责是实施控制以管理风险。随着业务的发展，我们必须不断地重新评估适当的风险有多大。我们的目标是建立一个可持续的计划，在保护需求和经营业务需求之间取得平衡。”

听:让你的组织为零信任做好准备

景观问题

听起来是:外面情况有多糟?那X公司发生的事情呢?和别人相比，我们做得怎么样?

为什么问这个问题:董事会成员面临威胁报告、文章、博客和监管压力，要求他们了解风险。他们总是会问别人在做什么，尤其是同行组织。他们想知道“天气”是什么样子的，以及与别人相比如何。

如何回应:避免猜测其他公司安全问题的根本原因，可以这样说:“在获得更多信息之前，我不想猜测X公司的事件，但当我了解更多信息时，我会很高兴与您联系。”考虑讨论一系列更广泛的安全响应，例如确定类似的弱点，以及如何更新业务连续性计划。

风险问题

听起来是:我们知道我们的风险是什么吗?是什么让你夜不能寐?

为什么问这个问题:董事会知道接受风险是一种选择(如果他们不接受，那就是你需要解决的挑战)。他们想知道公司的风险正在被处理，你应该准备好解释组织的风险承受能力，以便为风险管理决策辩护。

如何回应:解释风险管理决策对业务的影响，并确保你的立场有证据支持。第二部分至关重要，因为董事会是根据风险承受能力做出决定的。任何超过耐受阈值的风险都需要补救措施将其带入安全区域。也就是说，这并不一定需要在短时间内做出巨大的改变，所以要小心反应过度。

董事会希望确保你充分管理了重大风险，并且在某些情况下，微妙的长期方法可能是合适的。记住，董事会要对“企业”风险负责，而网络风险只占其中很小(尽管很重要)的一部分。挑战自己，做到简洁扼要。缺乏控制不是风险，也不是下一个大威胁。专注于你能控制的大额项目，比如知识产权损失、监管和第三方风险。

性能问题

听起来是:我们是否恰当地分配了资源?我们花的钱够吗?我们为什么要花这么多钱?

为什么问这个问题:董事会希望得到保证安全和风险管理领导者并不是静止不动，而是关于指标和ROI。

如何回应:使用使用简单红绿灯机制的平衡记分卡方法。顶层应该表达业务愿望以及组织在这些愿望基础上的表现。尽可能多地从业务业绩而不是技术的角度来解释抱负。性能由一系列安全度量来支撑，这些度量使用一组客观标准进行评估。