董事会现在会见你

15 年多来，网络安全行业一直在谈论与 董事会. 供应商通常会提供电子书、网络研讨会和演示文稿，介绍首席信息安全官 (CISO) 应该如何以及向他们的董事会展示什么——只要有机会。

除了缺乏机会外，CISO 可能会对向董事会做报告感到焦虑，因为他们是唯一没有自己工具的 C 级管理人员 衡量投资回报率. 从 Salesforce 到 Workday 再到 Marketo，C-suite 高管拥有平台解决方案来汇总、分析和报告运营的各个方面。 CISO 没有这样的解决方案，这使得衡量安全计划的投资回报率或展示商业价值变得更加困难。

具有讽刺意味的是，尽管有兴趣向他们展示，但说网络安全不是董事会的核心竞争力是轻描淡写的说法。 WSJ Pro 网络安全研究 调查了所有标普 500 董事会成员的专业背景，发现只有不到 2% 的人“在过去 10 年中拥有网络安全方面的相关专业经验”。

无论你是谁，都很难对你不了解的事物产生极大的兴趣。 也就是说，直到你有学习的动力。 现在摆在我们面前的是美国证券交易委员会 (SEC) 对董事会和网络安全的一次伟大觉醒。

根据 “哈佛商业评论”，“拟议的 SEC 规则将要求公司披露其网络安全治理能力，包括董事会对网络风险的监督、管理层在评估和管理网络风险中的作用的描述、此类管理层的相关专业知识以及管理层在实施公司网络安全政策、程序和战略。”

我希望更多的董事会现在开始寻找具有网络安全背景的经验丰富的高管。 与此同时，这对 CISO 意味着什么？

一个很好的机会

由于突然对网络安全产生了兴趣，但对此知之甚少，董事会成员想知道的与他们需要知道的可能大相径庭。 例如，过分关注头条新闻中的最新攻击或过分关注合规性。 就像应试教学一样，实现合规性可能是朝着正确方向迈出的良好一步，但并不总是与努力实施最佳安全措施相同。 当实现合规性成为安全目标而不是最小化风险和保护最关键的资产时，我们就错过了重点。

CISO 有机会为他们的组织创建一个“网络安全作为业务推动者”的叙述。 您在董事会中的位置现已确定。 您现在不再是偶尔的一次性更新，而是持续参与业务对话。 这是一个将网络安全置于董事会理解的业务决策背景下的机会。 摒弃首字母缩略词和有关威胁、漏洞和攻击的技术讨论。 精通商业语言，谈论每天做出的商业决策的网络后果。

使用 SaaS 应用程序可提高员工在混合工作环境中的工作效率，同时也使组织更容易面临风险，因为关键业务数据现在由第三方控制。 推动地域扩张、尽快将新应用程序推向市场以获取市场份额或收购以扩大工程团队的业务合作伙伴关系都会产生巨大的网络安全后果。 例如，当你收购一家公司时，你也继承了它的攻击面。 需要访问企业资源的不仅是新员工群体，还有他们的所有承包商、合作伙伴、供应商等。 它是一个由关联资产和影响组成的复杂、扩展的数字网络。

安全领导者最好在商业环境中使网络安全切实可见。 与业务的任何其他部分一样，需要做出决策和权衡取舍，所有这些都与组织愿意承担的可接受风险水平有关。

自动化和证据

在 SEC 的眼中，董事会需要证据证明其负责哪些资产以及如何对其进行监控和主动保护。 在发生违规事件时，董事会是什么时候知道的，反应和披露事件的速度有多快？

首先要知道您在保护什么以及您是如何保护的。 关键资产的发现成为支持现代网络安全计划中可见性、分类和补救工作的核心能力。 发现和分类必须自动化，以处理跨混合云、SaaS 合作伙伴和数字供应链的数据和企业连接资产的规模、移动和增长。 保护始于对这个庞大的攻击面的完全可见性，包括所有面向公众的资产中的每个依赖项、连接和漏洞。 从那里，您可以优先保护您最有价值的资产免受最严重的威胁。

自动发现还可以识别休眠、未使用和不必要的资产。 这样，它们就可以有效地退役，以减少 网络风险 并同时攻击面蔓延。

结论

现在不是教育董事会了解恶意软件和勒索软件之间区别的时候。 它是关于全面描绘威胁形势以及组织面临的特定风险和风险。 CISO 应该讨论整体安全计划和战略计划，以在衡量和降低风险的同时支持业务。

帮助董事会了解企业在哪里容易受到攻击，控制在哪里结束，暴露在哪里开始。 后果和保护方案是什么？ 归根结底，网络安全是一项业务挑战，例如不断增长的利润率和市场份额。 与业务目标一致的战略重点和投资。 听起来很简单。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now