挑戰不僅僅在于呈現技術信息——而在于將網絡安全與董事會的優先事項和業務目標結合起來。
然而,CISO們可能難以分辨董事會到底想聽什么、不想聽什么,但還是有方法可以解讀他們的期望并與之有效互動的。
在董事會中找到盟友
找到一個支持者或倡導者可以幫助CISO使自己的報告與董事會的要求保持一致,并建立更好的互動關系。“找一個董事會冠軍,幫助弄清董事會到底想聽什么。”多米諾集團的CISO斯蒂芬·貝內特(Stephen Bennett)說。
CISO們可能會花費大量時間試圖弄清楚董事會想要什么,并制作各種類型的報告,希望符合董事會的要求,但直接向源頭了解會更容易。
貝內特與一位董事會成員合作,發現這有助于改進他的報告方式。這意味著要更多地提供戰略性和高層次的見解,或解釋那些沒有具體網絡安全知識的董事需要了解的技術信息。“令我驚訝的是,我們常用的一些術語,比如‘端點’‘防火墻’或‘NIST框架’,董事會都不太了解。”他告訴記者。
他意識到需要為董事會填補這一空白,并因此開發了一個術語表,以及一份解釋與組織相關的合規框架和標準的白皮書,它提供了基礎信息,并確保所有人都在使用一種通用語言。
“這些文件很少改變,因為成熟度評估中的合規要求和風險管理框架相對一致。”他說。
打好基礎后,貝內特就能夠利用定期報告更新企業是如何緩解風險的,并強化網絡安全投資的價值。“我會解釋我們目前所處的成熟度階段、去年所做的工作、明年需要做的工作,以及所需的預算。”他說。
這段經歷幫助他改變了方法,從提供更像是風險登記冊的風險報告,轉變為提供以業務語言表述的戰略風險評估。向首席財務官(CFO)報告這條線的變更也幫助他擬定了面向業務的報告。
“只有當你向不參與技術工作的人員報告時,你才會意識到自己是在使用專業術語,或是沒有貼近業務語言。”貝內特說。
解碼董事會希望安全負責人做什么
網絡安全負責人需要與董事會保持定期聯系,以培養熟悉感和理解。如果沒有這一點,不明確的情況可能會導致要么過度分享技術細節,要么沒有提供足夠的戰略背景。
前CISO、現任董事會顧問、獨立董事和導師保羅·康奈利(Paul Connelly)發現,許多CISO過于注重指標,而董事會則希望獲得更多戰略見解。董事會不需要知道你的釣魚測試的結果,康奈利說。董事會關注的是企業面臨的風險、解決這些風險的策略、進度更新、成功的障礙,以及他們是否在處理正確的事情。
“我指導CISO們研究他們的董事會——閱讀他們的簡歷,了解他們的背景,了解董事會的信托責任,”他說。目標是了解董事會的構成和他們的優先事項,并將他們的指標納入業務的風險和威脅分析。
利用這些信息,CISO們可以開發一個與業務相一致的項目故事。“那個高層次的故事——輔以指標測量——就是董事會想聽到的,而不是一堆關于惡意郵件和關鍵補丁的指標,或像‘小雞快跑’故事里那樣嚇人的威脅。”康奈利告訴記者。
然而,這不是單向互動,但許多CISO與缺乏相應技能和理解力以促進有關網絡威脅的有意義討論的董事會進行互動。“很少有公司的董事會中有真正的技術或網絡安全專家。”康奈利說。
據2024年Diligent Institute的一份報告顯示,只有5%的公司擁有網絡安全專家進入董事會,這表明大多數董事會在網絡安全監督方面存在困難。
盡管技術對創新和增長至關重要,而相關風險也是公司面臨的最大且最復雜的風險之一,但許多董事會卻不具備處理這一話題的技能。“他們只是在管理層提出的內容上蓋章,或是提出一些他們從麥肯錫的一篇文章中讀到的五個常見問題,但無法進一步探究他們得到的答案。”康奈利說。
他建議CISO在季度董事會資料中包含簡短的培訓視頻、進行董事會桌面演練,或加入其他教育材料。“任何能幫助填補專業空白的東西。”
超越‘是’或‘否’的問題以及董事會與網絡安全之間的脫節
在一系列領域,CISO對網絡安全優先事項的看法與他們的董事會之間存在顯著脫節。根據Splunk的CISO報告,CISO更可能認為知識深度是一項重要技能,而董事會則希望CISO在溝通和商業敏銳度方面做得更好。此外,董事會比CISO更堅持對現有的網絡安全控制進行驗證測試,并認為合規即成功。
這種對網絡理解的差距可能會讓董事們在充分利用CISO及其專業知識方面準備不足。
“你需要明白,一些董事會成員會非常關心網絡安全,而另一些則不會。有時你必須向所有董事會成員介紹報告——有些人想要無限細節,而另一些人只想聽到:‘一切都好,是嗎?’”貝內特說。
為了超越‘是’和‘否’的問題,并向董事會提供有價值的背景見解和戰略指導,CISO們需要的不僅僅是打勾練習。貝內特發現,利用額外的信息來源是拆解現實風險和業務影響的有效方法。“我不會只是說:‘這些是風險’。我會提供一些背景,幫助他們更深入地理解。”貝內特說。
可以將新聞中關于安全事件的文章與安全控制聯系起來,說明預算是如何使用的,以及如果面臨同類型的威脅,這對企業的風險水平和響應時間意味著什么。“我不僅僅會給出數字,我還會向他們展示我們的投資是如何發揮作用的。例如,我們是如何從可能需要五個團隊成員三天時間來解決一個事件,轉變為在四個小時內解決,并具有完全可見性。”他說。
在正式會議之外尋找與董事會成員互動的機會,也是CISO們改善與董事會成員交流的有力方式。
無論是通過委員會還是臨時的一對一會議,這些互動有助于與董事會成員建立融洽關系,根據IANS 2025年《CISO現狀報告》顯示。
康奈利認為,這也是CISO與董事會之間建立成功工作關系的另一個重要因素。在他擔任CISO期間,他被邀請參加董事會晚宴,并真正了解了審計委員會成員。“那種程度的接觸和舒適感促進了良好的討論,董事會成員們也很自在地提出問題。”他說。
企業網D1net(m.hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號