如今,董事会有越来越多的信息来源,并在质疑公司安全计划的效果时做出了更充分的准备。为了在远程团队日益增长的网络安全威胁环境中实现数字目标,他们与安全和风险管理领导人的对话变得更加复杂和详细。
因此,他们根本不可能会问一些基本的问题,比如我们有多安全?为什么我们去年刚刚批准了X,现在我们需要在安全方面投入更多的资金吗?你说我们被录用了“黑”一百次是什么意思?相反,董事会将进行更具体、更准确的调查。
由于媒体报道,安全和风险管理领导往往难以回答董事会提出的问题,导致企业领导和技术领导之间信任的破裂。
因此,您准备的答案应该引导讨论保证、合规和支持安全实践。除了个别董事会成员感兴趣和关心的事情外,整个董事会还关心以下三件事:
- 收入/任务:经营或非经营收入,增强非收入任务目标
- 成本:避免未来成本,大幅降低运营成本
- 风险:金融、市场、合规和安全监管、创新、品牌和声誉
董事会所提出的问题可以分为以下五个类别:
事件类问题
问题内容:怎么会这样?我以为你已经控制住了局面?有什么问题?
问题原因:当事件或事件发生时,董事会已知道或首席信息安全官(CISO)当通知他们时,就会出现这样的问题。这一点目前尤为明显,因为董事会可能会在大多数员工在家工作时询问一些关于企业和机构安全的具体问题。这些问题也可能发生在任何其他事件中,包括影响整个企业和机构的数据泄露。
如何回应:有些事件(无论什么类型)是不可避免的,所以你应该接受事实。分享你所知道的和你正在做的工作,并挖掘你不知道的东西。简而言之,接受事件,提供详细的业务影响信息,总结需要解决的弱点或差距,并提供缓解计划。
在董事会面前,我们应该注意不要只提供一个选项作为最终选择。虽然安全领导人仍负责安全和风险监督,但责任始终由董事会/高管定义。
权衡类问题
问题:我们100%安全吗?你确定吗?
问题原因:这些问题通常来自董事会成员,他们不真正了解安全和业务影响。不可能实现100%的安全或保护。您的职责是确定风险最高的领域,并根据业务需要分配有限的资源进行管理。
如何回应:一开始可以说:“随着威胁环境的不断演变,我们不可能消除所有的信息风险来源。我的职责是采取控制措施来管理风险。随着业务的增长,我们必须不断重新评估适当的风险水平。我们的目标是建立一个可持续的计划来平衡安全和业务需求。”
处境类问题
问题内容:外部情况有多糟糕?X公司发生了什么事?与其他公司相比,我们的情况如何?
问题原因:董事会成员将通过威胁报告、文章、博客和监管压力来了解风险。他们总是问别人在做什么,尤其是同行,他们想知道自己的情况,并与其他企业进行比较。
如何回应:避免猜测其他公司安全问题的根本原因,但回答:“在得到更多信息之前,我不想猜测X公司的事。但是在我了解了更多信息之后,我会很乐意和你分享。”我们可以考虑讨论一系列更广泛的安全类似的弱点以及如何更新业务连续性计划。
风险类问题
问题:我们知道我们面临什么风险吗?什么让你晚上睡不着?
问题原因:董事会知道接受风险是一种选择(如果他们不知道,你需要解决这个问题),但他们想知道公司的风险是否得到了妥善处理,所以你应该准备解释企业和机构的风险容忍度,以保护风险管理决策。
如何回应:解释风险管理决策对业务的影响,并确保有证据支持您的观点。第二部分非常重要,因为董事会将根据风险容忍度做出决定。任何高于容忍阈值的风险都需要在安全范围内采取补救措施,但不一定需要在短时间内做出巨大的变化,因此应注意不要过度反应。
董事会希望您能确保您在某些情况下完全管理重大风险,并采取温和的长期策略。请记住,董事会应该是对的“整个企业”尽管网络风险非常重要,但它只是其中的一小部分。你应该要求自己简洁。缺乏控制不是风险,未发生的下一个巨大威胁也不是风险。专注于你可以控制的高价项目,如知识产权损失、监管和第三方风险。
绩效类问题
问题:我们合理分配资源吗?我们的开支够吗?为什么要花这么多钱?
问题原因:董事会希望确认安全和风险管理领导人没有停滞不前,并希望了解各项指标和投资回报。
如何回应:可以使用平衡记分卡方法,这种方法运用的是一种简单的交通信号灯机制。最上面的一层应表示业务愿望和企业机构在这些愿望方面的表现。尽可能从业务绩效(而不是技术)的角度来解释这些愿望,并且应该使用一系列通过一套客观标准评估的安全衡量指标来支撑绩效。