以下是安全領(lǐng)導(dǎo)者如何在董事會中引起共鳴的實用建議。

將風險轉(zhuǎn)化為金錢

董事會并非由技術(shù)人員組成，大多數(shù)成員來自財務(wù)、法律或運營部門，他們從業(yè)務(wù)表現(xiàn)、責任和股東價值的角度思考。

因此，不要帶著威脅源或補丁統(tǒng)計數(shù)據(jù)出現(xiàn)，專注于對他們重要的事情。例如：

• 勒索軟件攻擊如何可能使營收中斷一周

• 審計失敗可能如何影響客戶信任

• 數(shù)據(jù)泄露可能如何觸發(fā)監(jiān)管罰款

在與董事會交流時，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要從技術(shù)術(shù)語轉(zhuǎn)向風險和財務(wù)語言。“董事會從概率和財務(wù)影響的角度思考，而不是技術(shù)術(shù)語，”Optiv全球網(wǎng)絡(luò)風險和董事會關(guān)系副總裁詹姆斯·圖爾加爾(James Turgal)說。

為了使網(wǎng)絡(luò)風險引起共鳴，圖爾加爾使用風險量化模型，如FAIR(信息風險因素分析)。這些模型允許CISO用董事會能理解的方式表達威脅。“我首先估計三件事：壞事可能發(fā)生的頻率、可能造成的損失以及在品牌、銷售或市場份額方面的業(yè)務(wù)影響。”他解釋道。

圖爾加爾不談?wù)搻阂廛浖兎N或攻擊向量，而是呈現(xiàn)場景，如：“今年勒索軟件攻擊的風險為5%，如果發(fā)生，平均損失將為450萬美元。”他還將網(wǎng)絡(luò)風險與具體的業(yè)務(wù)結(jié)果聯(lián)系起來。例如，他可能會展示客戶門戶被入侵如何因服務(wù)中斷和客戶流失而在一個季度內(nèi)減少8%的營收。

“每位首席財務(wù)官都知道系統(tǒng)停機導(dǎo)致的每日運營損失數(shù)字，”圖爾加爾指出。“CISO只需進行計算。”

圖爾加爾還建議將網(wǎng)絡(luò)風險與董事會已經(jīng)使用的財務(wù)指標對齊，如風險價值。“如果我們不升級云安全控制，我們預(yù)計年度損失敞口為120萬美元，”他可能會說。這有助于將技術(shù)決策轉(zhuǎn)化為董事會可以權(quán)衡和采取行動的底線后果。

關(guān)注趨勢，使用通俗語言

董事會不需要每個威脅警報，但他們確實想知道情況是在變好還是變壞。向他們展示一段時間內(nèi)的進展。例如：

• 釣魚嘗試和響應(yīng)時間的季度趨勢

• 顯示員工在模擬攻擊中的點擊率的指標

• 將當前風險水平與上一季度進行比較的記分卡

突出異常值。什么在惡化?什么在控制之中?對差距保持透明，并說明你正在采取什么措施來彌補它們。

避免使用術(shù)語。說“罪犯入侵了”而不是“未經(jīng)授權(quán)的訪問”。說“他們加密了我們的文件并要求贖金”而不是“勒索軟件事件”，然后，用簡單的視覺輔助工具來支持你的觀點。餅圖或風險熱圖比滿是數(shù)字的電子表格有效得多。

保持更新簡短。董事會會議時間緊張。不要用細節(jié)淹沒他們。目標是進行一次五分鐘的更新，包含清晰的要點：什么變了?風險是什么?你有什么建議?

“面對復(fù)雜的技術(shù)主題和不斷演變的威脅，典型的時間段往往不足以進行有意義的對話。安全領(lǐng)導(dǎo)者可以通過提前準備簡潔、以業(yè)務(wù)為中心的簡報材料，并優(yōu)先討論最關(guān)鍵的問題來解決這個問題。當時間限制持續(xù)存在時，他們應(yīng)該倡導(dǎo)召開專門會議，以確保對網(wǎng)絡(luò)安全事務(wù)進行適當?shù)谋O(jiān)督。”Team8的駐場CISO羅斯·楊(Ross Young)說。

將安全與業(yè)務(wù)目標聯(lián)系起來

為了將網(wǎng)絡(luò)安全與業(yè)務(wù)目標對齊，CISO必須了解公司的核心使命，并確定安全與該使命的交集。“一個例子是創(chuàng)建一個關(guān)于網(wǎng)絡(luò)安全如何保護營收和增長的談話框架，”圖爾加爾說。當信任受到損害時，后果是即時的：影響銷售、品牌忠誠度，并最終影響市場份額。

據(jù)圖爾加爾稱，這種對齊往往歸結(jié)為將特定的安全舉措與公司的戰(zhàn)略目標聯(lián)系起來。例如，如果企業(yè)正在擴展到國際市場，CISO可以通過獲得網(wǎng)絡(luò)安全認證(如ISO 27001)或與GDPR隱私框架對齊來支持這一目標。這些不僅降低了風險，還有助于在新地區(qū)建立信譽。

在與董事會溝通時，圖爾加爾建議將網(wǎng)絡(luò)安全舉措映射到股東價值上。“如果業(yè)務(wù)目標是保護股東價值，那么這與業(yè)務(wù)連續(xù)性和提高運營正常運行時間有直接聯(lián)系。”為了支持這一點，安全領(lǐng)導(dǎo)者可能會通過容器化不可變備份、災(zāi)難恢復(fù)和事件響應(yīng)計劃來提高網(wǎng)絡(luò)韌性——這些工具可以減輕損害品牌的攻擊并防止股價波動。

合規(guī)性是安全與業(yè)務(wù)戰(zhàn)略相交的另一個領(lǐng)域。“如果業(yè)務(wù)目標是保持合規(guī)性并避免或減少罰款，那么網(wǎng)絡(luò)安全的關(guān)聯(lián)將是投資和實施合規(guī)自動化應(yīng)用程序和安全控制，”圖爾加爾解釋道。這些措施確保與PCI-DSS、SOX或HIPAA等法規(guī)保持一致，具體取決于組織的行業(yè)。

預(yù)測董事會問題

在每次會議前，問自己：

• 他們現(xiàn)在最關(guān)心什么風險?

• 是否有他們會問我的頭條新聞?

• 我需要他們做出什么決定?

以這些問題為框架準備你的更新。并練習回答諸如以下問題：

• 我們做得夠嗎?

• 我們與同行相比如何?

• 這會發(fā)生在我們身上嗎?

不要害怕說“我不知道”，但總是要跟進說“我會查明并回復(fù)你”。

每次董事會會議后，跟進一份書面總結(jié)：你展示了什么，你得到了什么反饋，以及做出了什么決定，這建立了責任感并展示了專業(yè)性，它還有助于在優(yōu)先級發(fā)生變化或預(yù)算削減時。你將有一個記錄，說明達成了什么共識，以及為什么它很重要。

在董事會外建立關(guān)系

一些最有成效的對話并不發(fā)生在會議中，它們發(fā)生在喝咖啡時，或與個別董事會成員的通話中。

如果可能，與董事安排一對一會議，向他們介紹關(guān)鍵風險，問他們想了解更多什么。找出他們更喜歡如何接收信息。

通過在會議外建立融洽關(guān)系，你在會議中將面臨更少的意外。

你在董事會中的最強盟友通常是首席財務(wù)官和法律負責人，他們理解風險和責任，并說董事會的語言。

與他們合作來塑造你的信息。請他們檢驗?zāi)愕臄?shù)據(jù)，并幫助完善風險的財務(wù)影響。如果他們支持你，你的信息將更有分量。

擁有健康董事會關(guān)系的CISO往往在整個組織中有更好的協(xié)作。根據(jù)最近的Splunk研究，他們也更有可能被賦予追求生成性AI用例的能力，如創(chuàng)建威脅檢測規(guī)則、分析數(shù)據(jù)源、事件響應(yīng)和取證調(diào)查，以及主動威脅狩獵。