董事会肯定会问的5个安全问题

安全的电子书:2022年领导愿景

如今的董事会更加了解情况，并准备好挑战公司安全计划的有效性。他们正在更复杂和微妙的对话由于远程团队面临日益增长的网络安全威胁，需要实现数字化雄心，因此需要安全和风险管理领导者。

因此，他们不太可能会问一些基本的问题，比如:我们有多安全?我们去年刚刚批准了X，为什么我们需要更多的资金用于安全?你说我们被黑了一百次是什么意思?相反,董事会他们的调查将更加具体和精确。

导游:你需要知道的关于网络安全的一切

他表示:“安全和风险管理领导者往往难以回答由媒体报道塑造的董事会问题，这导致企业领导者与技术领导者之间的信任破裂。山姆Olyaei高德纳(Gartner)首席分析师。

这取决于您准备响应，从而将讨论引向安全实践的保证、遵从性和支持。除了个人的激情和关注点，董事会还共同关心三件事:

• 收入/任务:经营或非经营收入和提高非收入的任务目标
• 成本:避免未来的成本并立即减少运营费用
• 风险:财务、市场、合规和安全、创新、品牌和声誉

董事会的问题可以分为这五个部分。

下载路线图:如何使资讯保安计划成熟

事件问题

听起来像什么:这是怎么发生的?我以为你已经控制住了?出了什么问题?

为什么问这个问题:当事件或事件已经发生，并且董事会已经知道它或首席信息安全官(CISO)正在通知他们时，就会出现这些问题。这一点现在尤其重要，因为董事会可能会问一些具体的问题，以确保组织的安全，而大部分员工都在家里工作。这些问题也可能出现在任何其他事件中，包括可能对组织产生总体影响的数据泄露。

如何回应:事件是不可避免的，所以要坚持事实。分享你所知道的和你正在做的事情，找出你还不知道的事情。简而言之，承认事件，提供有关业务影响的详细信息，概述需要解决的弱点或差距，并提供缓解计划。

在董事会面前，要谨慎，不要把某一种选择作为最终选择。监督安全与风险的责任仍由政府承担安全领袖，但责任必须始终在董事会/执行层面定义。

下载资讯科技路线图:网络安全策略

权衡问题

听起来像什么:我们百分之百安全吗?你确定吗?

为什么问这个问题:像这样的问题通常来自那些并不真正了解安全性及其对业务的影响的董事会成员。百分百的安全或保护是不可能的。您的角色是识别风险最高的领域，并根据业务需求分配有限的资源来管理它们。

如何回应:可以这样开头:“考虑到威胁形势的不断演变，消除所有信息风险来源是不可能的。我的职责是实施控制措施来管理风险。随着我们业务的增长，我们必须不断地重新评估多少风险是合适的。我们的目标是建立一个可持续的项目，平衡保护需求和经营业务的需求。”

听:让组织为零信任做好准备

景观问题

听起来像什么:外面的情况有多糟糕?那在X公司发生的事呢?与他人相比，我们做得怎么样?

为什么问这个问题:董事会成员会遇到威胁报告、文章、博客和监管压力，以了解风险。他们总是会问别人在做什么，尤其是同行组织。他们想知道“天气”是什么样子的，以及他们和其他人相比如何。

如何回应:避免猜测其他公司安全问题的根本原因，可以说:“在获得更多信息之前，我不想猜测X公司的事件，但当我了解更多信息时，我会很高兴与您联系。”考虑讨论一系列更广泛的安全响应，例如识别类似的弱点，以及如何更新业务连续性计划。

风险问题

听起来像什么:我们知道我们的风险是什么吗?什么事让你夜不能寐?

为什么问这个问题:董事会知道接受风险是一种选择(如果他们不这么认为，那就是你需要解决的挑战)。他们想知道公司的风险正在被处理，你应该准备好解释组织的风险承受能力，以捍卫风险管理决策。

如何回应:解释风险管理决策对业务的影响，并确保你的立场有证据支持。第二部分至关重要，因为董事会是根据风险承受能力做出决策的。任何超过容忍阈值的风险都需要采取补救措施，将其置于安全区域内。也就是说，这并不一定需要在短时间内发生巨大的变化，所以要小心反应过度。

董事会希望你能保证充分管理重大风险，在某些情况下，微妙的长期方法可能是合适的。请记住，董事会要对“企业”风险负责，而网络风险虽然很重要，但只占其中很小的一部分。挑战一下自己，简洁扼要。缺乏控制不是一种风险，也不是下一个重大威胁。把重点放在你能控制的大额项目上，比如知识产权损失、监管和第三方风险。

性能问题

听起来像什么:我们是否合理地分配了资源?我们花的钱够吗?我们为什么要花这么多钱?

为什么问这个问题:董事会希望得到这方面的保证安全和风险管理领导者不是静止不动，而是参数和ROI。

如何应对:使用平衡计分卡方法，使用简单的红绿灯机制。顶层应该表达业务期望和组织相对于这些期望的表现。尽可能用业务表现而不是技术来解释你的抱负。性能由一系列使用一组客观标准评估的安全度量来支撑。