董事会肯定会问的5个安全问题

安全的电子书:2022年领导的愿景

如今，董事会更加知情，也更愿意挑战公司安全程序的有效性。他们正在更加复杂和微妙的对话由于远程团队需要在日益增长的网络安全威胁中实现数字化目标，因此拥有安全和风险管理领导者。

因此，他们不太可能会问这样的基本问题:我们有多安全?我们去年刚刚批准了X，为什么我们需要更多的钱用于安全?你说我们被黑了一百次是什么意思?相反,董事会在他们的调查中会更加具体和精确。

导游:关于网络安全你需要知道的一切

“安全和风险管理领导者往往难以回应由媒体报道塑造的董事会问题，这导致了商业领袖和技术领袖之间的信任破裂，”他表示山姆Olyaei， Gartner的董事分析师。

由您准备响应，将讨论引向安全实践的保证、遵从性和支持。除了个人的激情和担忧，董事会还共同关心三件事:

• 收入/任务:经营或非经营收入和增强非收入任务目标
• 成本:未来避免成本和立即减少运营费用
• 风险:金融、市场、合规与安全、创新、品牌与声誉

董事会问题可以分为以下五类。

下载路线图:如何使你的信息安全计划成熟

这一事件的问题

听起来像什么:这是怎么发生的?我以为你已经控制住了?到底是哪里出了错?

问:当一个事件或事件已经发生，而董事会已经知道它，或首席信息安全官(CISO)正在通知他们时，这些问题就会出现。这一点在现在尤其重要，因为现在董事会可能会问一些关于保护组织的具体问题，而大部分员工都在家工作。这些问题也可能出现在任何其他事件中，包括可能对整个组织产生影响的数据泄露。

如何应对:一个事件(无论什么类别)是不可避免的，所以要坚持事实。分享你知道的和你正在做的事情，找出你还不知道的事情。简而言之，确认事件，提供关于业务影响的细节，概述需要解决的弱点或差距，并提供缓解计划。

要小心，不要在董事会面前支持一个选项作为最终选择。监督安全和风险的责任仍在安全领袖，但问责制必须始终在董事会/高管层面界定。

下载路线图:网络安全策略

权衡的问题

听起来像什么:我们百分百安全吗?你确定吗?

问:这样的问题通常来自于不真正理解安全性及其对业务影响的董事会成员。不可能百分百安全或受保护。您的任务是确定风险最高的领域，并根据业务需求分配有限的资源来管理它们。

如何应对:你可以这样开头:“考虑到威胁环境不断变化的本质，不可能消除所有信息风险来源。我的职责是实施控制以管理风险。随着我们业务的增长，我们必须不断地重新评估适当的风险。我们的目标是建立一个可持续的项目，在保护的需要和经营业务的需要之间取得平衡。”

听:让你的组织零信任

景观的问题

听起来像什么:外面的情况有多糟?X公司发生的事情呢?和别人相比，我们做得怎么样?

问:董事会成员会遇到威胁报告、文章、博客和监管压力，要求他们了解风险。他们总是会问其他人在做什么，尤其是同行组织。他们想知道“天气”是什么样子的，以及与其他天气相比如何。

如何应对:为了避免猜测另一家公司安全问题的根本原因，可以这样说:“在获得更多信息之前，我不想对X公司的事件进行推测，但当我了解更多信息时，我会很乐意与您继续跟进。”考虑讨论一系列更广泛的安全响应，比如确定一个类似的弱点，以及如何更新业务连续性计划。

风险的问题

听起来像什么:我们知道我们的风险是什么吗?什么事让你夜不能寐?

问:董事会知道接受风险是一种选择(如果他们不接受，那就是你需要应对的挑战)。他们想知道公司的风险正在被处理，而你应该准备好解释组织的风险承受能力，以便为风险管理决策辩护。

如何应对:解释风险管理决策对业务的影响，并确保你的观点有证据支持。第二部分至关重要，因为董事会是基于风险承受能力做出决策的。任何超过容许阈值的风险都需要补救措施将其置于安全区域内。也就是说，这并不一定需要在短时间内发生巨大的变化，所以要注意反应过度。

董事会希望确保你能充分地管理重大风险，并且在某些情况下，微妙的、长期的方法可能是合适的。记住，董事会负责“企业”风险，其中网络风险只占很小的一部分，尽管很重要。挑战自己，让自己说话简洁扼要。缺乏控制不是风险，也不是下一个大威胁。关注你能控制的大项目，比如IP丢失、监管和第三方风险。

的性能问题

听起来像什么:我们是否合理分配资源?我们的花费足够吗?我们为什么要花这么多钱?

问:董事会希望得到保证安全和风险管理领导者不是原地踏步，关注度量和ROI。

如何应对:使用平衡计分卡方法，使用简单的红绿灯机制。顶层应该表达业务愿望和组织在这些愿望下的表现。尽可能多地从业务表现而不是技术的角度来解释抱负。性能的基础是一系列安全度量，这些度量使用一组客观标准进行评估。