董事會(huì )一定會(huì )問(wèn)的五類(lèi)安全問(wèn)題

如今的董事會(huì )所擁有的信息來(lái)源越來(lái)越多并且在質(zhì)疑公司安全計劃的效果時(shí)準備得更加充分。為了在遠程團隊日益增長(cháng)的網(wǎng)絡(luò )安全威脅環(huán)境中實(shí)現數字化目標，他們與安全和風(fēng)險管理領(lǐng)導人的對話(huà)也變得更加復雜和細致。

因此，他們根本不可能會(huì )問(wèn)一些基本的問(wèn)題，比如我們有多安全？為什么我們去年剛剛批準了X，現在又需要在安全方面投入更多的資金？你說(shuō)我們被“黑”了一百次是什么意思？相反，董事會(huì )將進(jìn)行更加具體、精準的探詢(xún)。

安全和風(fēng)險管理領(lǐng)導人往往難以回答董事會(huì )因媒體報道而提出的問(wèn)題，這導致企業(yè)領(lǐng)導人和技術(shù)領(lǐng)導人之間信任的破裂。

因此，您所準備的回答應該將討論引向保證、合規和對安全實(shí)踐的支持。除了個(gè)別董事會(huì )成員感興趣和關(guān)注的事情之外，整個(gè)董事會(huì )關(guān)心以下三件事情：

●   收入/任務(wù)：運營(yíng)或非運營(yíng)收入以及增強非收入任務(wù)目標

●   成本：避免未來(lái)成本以及大幅減少運營(yíng)費用

●   風(fēng)險：金融、市場(chǎng)、監管合規和安全、創(chuàng )新、品牌以及聲譽(yù)

董事會(huì )所提出的問(wèn)題可以分為以下五個(gè)類(lèi)別：

事件類(lèi)問(wèn)題

問(wèn)題內容：怎么會(huì )這樣？我以為你已經(jīng)控制住局面了？什么地方出了問(wèn)題？

提問(wèn)原因：當一個(gè)事件或事情發(fā)生后并且董事會(huì )已經(jīng)知道或者首席信息安全官（CISO）正在通知他們時(shí)，就會(huì )出現此類(lèi)問(wèn)題。這一點(diǎn)在目前尤為明顯，因為董事會(huì )可能會(huì )在大部分員工在家辦公的情況下問(wèn)一些關(guān)于企業(yè)機構安全的具體問(wèn)題。此類(lèi)問(wèn)題也可能出現在任何其他事件中，包括可能已經(jīng)影響到整個(gè)企業(yè)機構的數據泄露。

如何回應：有些事件（無(wú)論哪種類(lèi)型）是不可避免的，所以應接受事實(shí)。分享您所知道的以及您正在做的工作，挖掘您還不知道的事情。簡(jiǎn)而言之，接受事件、提供關(guān)于業(yè)務(wù)影響的詳細信息、概述需要解決的弱點(diǎn)或差距并提供緩解計劃。

在董事會(huì )面前應注意不要只提供一個(gè)選項作為最終選擇。雖然安全領(lǐng)導人仍承擔安全和風(fēng)險監督職責，但責任始終由董事會(huì )/高管界定。

權衡類(lèi)問(wèn)題

問(wèn)題內容：我們100%安全嗎？你確定嗎？

提問(wèn)原因：這樣的問(wèn)題往往來(lái)自于那些沒(méi)有真正理解安全和業(yè)務(wù)影響的董事會(huì )成員。要做到100%的安全或保護是不可能的。您的職責是確定具有最高風(fēng)險的領(lǐng)域并根據業(yè)務(wù)需求通過(guò)分配有限的資源來(lái)管理它們。

如何回應：一開(kāi)始可以這樣說(shuō)：“由于威脅環(huán)境在不斷演變，我們不可能消除所有信息風(fēng)險來(lái)源。我的職責是采取控制措施來(lái)管理風(fēng)險。隨著(zhù)業(yè)務(wù)的增長(cháng)，我們必須不斷重新評估合適的風(fēng)險級別。我們的目標是建立一個(gè)可持續的計劃來(lái)平衡安全需求和業(yè)務(wù)經(jīng)營(yíng)需求?！?/p>

處境類(lèi)問(wèn)題

問(wèn)題內容：外面的情況有多糟？在X公司發(fā)生的事情怎么樣了？與其他公司相比，我們的情況如何？

提問(wèn)原因：董事會(huì )成員會(huì )通過(guò)威脅報告、文章、博客和監管壓力來(lái)了解風(fēng)險。他們總是會(huì )問(wèn)別人在做什么，尤其是同行企業(yè)機構，而且想知道自身的處境并與其他企業(yè)機構進(jìn)行比較。

如何回應：避免猜測引起其他公司安全問(wèn)題的根本原因，而是回答：“在獲得更多信息之前，我不想猜測X公司的事情。但在我了解到更多信息后，我將十分樂(lè )意與您分享?！笨梢钥紤]討論一系列更加廣泛的安全對策，例如確定類(lèi)似的弱點(diǎn)以及如何更新業(yè)務(wù)連續性計劃等。

風(fēng)險類(lèi)問(wèn)題

問(wèn)題內容：我們知道我們面對的是哪些風(fēng)險嗎？什么事情讓你夜不成寐？

提問(wèn)原因：董事會(huì )知道接受風(fēng)險是一種選擇（如果他們不知道，那么您就需要解決這一問(wèn)題），但他們想知道公司風(fēng)險是否得到了妥善的處理，所以您應該做好解釋企業(yè)機構風(fēng)險容忍度的準備，以便為風(fēng)險管理決策辯護。

如何回應：解釋風(fēng)險管理決策對業(yè)務(wù)的影響并確保有證據支持您的觀(guān)點(diǎn)。第二個(gè)部分至關(guān)重要，因為董事會(huì )會(huì )根據風(fēng)險容忍度來(lái)做出決策。任何高于容忍度閾值的風(fēng)險都需要采取補救措施將其控制在安全范圍內，但這不一定需要在短時(shí)間內做出巨大的變化，所以應注意不要反應過(guò)度。

董事會(huì )希望您保證您正在充分管理重大風(fēng)險并且在某些情況下應采取溫和的長(cháng)期策略。請記住，董事會(huì )要對“整個(gè)企業(yè)”的風(fēng)險負責，而網(wǎng)絡(luò )風(fēng)險雖然很重要，但也只是其中的一小部分。您應該要求自己做到簡(jiǎn)明扼要。缺乏控制不是風(fēng)險，尚未出現的下一個(gè)巨大威脅也不是風(fēng)險。專(zhuān)注于您能夠控制的高價(jià)項目上，例如知識產(chǎn)權損失、監管和第三方風(fēng)險。

績(jì)效類(lèi)問(wèn)題

問(wèn)題內容：我們是否合理分配了資源？我們的開(kāi)支是否足夠？我們?yōu)槭裁匆ㄟ@么多錢(qián)？

提問(wèn)原因：董事會(huì )想要確認安全和風(fēng)險管理領(lǐng)導人沒(méi)有在停滯不前并希望了解各項指標和投資回報率。

如何回應：可以使用平衡記分卡方法，這種方法運用的是一種簡(jiǎn)單的交通信號燈機制。最上面的一層應表示業(yè)務(wù)愿望和企業(yè)機構在這些愿望方面的表現。盡可能從業(yè)務(wù)績(jì)效（而不是技術(shù)）的角度來(lái)解釋這些愿望，并且應該使用一系列通過(guò)一套客觀(guān)標準評估的安全衡量指標來(lái)支撐績(jì)效。