不要让你的董事会演讲失分。在向董事会传达网络安全风险时,请遵循这些最佳实践和常见错误。
网络安全是董事会最关心的问题。
事实上,在美国企业董事协会(National Association of Corporate Directors)调查的近500位领导人中,42%的人将网络安全风险列为他们面临的五大最紧迫问题之一,仅次于监管环境的变化和经济放缓。
因此,安全管理人员越来越多地向董事会介绍他们面临的风险和缓解风险的策略。
互联网安全公司Webroot的首席信息官、资深董事会成员加里·海斯里普(Gary Hayslip)说:“越来越多的董事会在说,‘跟我们谈谈,告诉我们需要知道什么’。”。
然而,许多董事会成员发现,他们没有从首席信息安全官那里获得所需的信息。
管理咨询公司麦肯锡公司(McKinsey&Co.)的高级合伙人戴维·钦恩(David Chinn)表示:“董事会成员正在谈论网络风险,风险和审计委员会花了大量时间询问CISO,他们通常对这种经历不满意。”。
CISO可以采取一些步骤来避免此类负面评论。在这里,几位经验丰富的领导者分享了他们向董事会提出的建议:
1.做更多的准备工作
高管们应在亲自向董事会提交报告前几周准备书面报告,分发给董事会成员。一些人认为提前做好准备就足够了,但经验丰富的高管和领导顾问表示,CISO(尤其是那些在董事会任职时间有限的人)需要做更集中的准备工作,甚至接受专门的培训。
在Hayslip首次向新董事会提交报告之前,他要求首席财务官为他联系一位愿意帮助他准备报告的董事。“如果我要向董事会汇报工作,而我以前从未与他们交谈过,我不想冷冰冰地走进董事会会议室。我不知道他们会问什么样的问题。我不清楚他们想知道什么。所以我会与我的同事交谈,询问向董事会报告的其他高管,并获得他们的反馈-他们在那里,他们喜欢什么,他们问什么问题-这样我就知道了。”他说:“我将与谁交谈,他们如何喜欢提供数据。”。
2.提供评估
Hayslip说,准备工作以及他随后向董事会介绍的经历,让他了解了董事们想要知道的东西,即对公司网络安全态势的评估以及需要如何改进。
“告诉他们你在哪里,你需要在哪里。每次你进来,你都会分享关于新的风险和新的改进机会的信息,以之前(演示)中提供的信息为基础,”他说。“告诉他们,这就是我们所处的位置,这是我们不成熟的地方和风险所在,从威胁概况来看,这是应该优先考虑的,为什么……以及我们在竞争对手面前的位置。”
3.透明
专家表示,评估不应混淆企业面临的风险,因此CISO应提前以直接、可访问的方式提供相关信息。
“许多组织都有一个威胁情报部门,他们正在为董事会打包这些信息,让董事会成员觉得他们是知情的,”Chinn说。“董事会成员想知道企业风险、风险对业务的影响、他们的投资在多大程度上变成了控制,以及是否产生了有意义的风险降低。”
他列举了一个如何提供此类信息的有力例子,即CISO实施了一个自助应用程序,董事会成员可以根据需要访问该信息。
4.预测(棘手的)问题
董事会会议室不是让人惊讶的地方。因此,IT治理协会ISACA董事会主席Rob Clyde建议CISO预测董事会成员提出的问题,特别是最难回答的问题,如“我们的安全性有多好?”“我们安全吗?”
Clyde说,CISO通常很难恰当地回答这些类型的问题,因此在即时回答时往往会提供不充分或令人困惑的回答。
他建议CISO提前思考并制定应对措施。他还建议CISO使用网络安全成熟度框架,如ISACA的CMMI研究所提供的框架,为这些棘手问题提供清晰、深刻的回应。
同样,他表示,CISO对这些问题的回答也不应该让董事会、其他高管和首席执行官感到惊讶。克莱德说,CISO应该与CEO分享他们对预期问题的回答;事实上,CISO应该确保他们的CEO了解他们将要介绍的任何信息,这样他们就不会让他们的CEO陷入任何尴尬的境地。
5.诚实对待限制
另一方面,经验丰富的高管们表示,CISO在回答有关组织风险和网络安全态势的问题时应该实事求是,即使他们担心自己的回答可能会让他们看起来效率低下。克莱德说:“一些董事会会会问,‘我们是100%安全吗?’你永远不应该做出肯定的回答,也不应该给出毫无根据的保证,从而回答不准确。”。
6.但也不要吓到董事会
CISO看到网络安全攻击的数量和复杂性不断增加,因此,他们寻求与董事会共享此类信息,同时解释应对所有这些威胁所需的资源,这并不奇怪。
“你有一些CISO,他们会列出正在发生的所有坏事,让人觉得天要塌了,”海斯里普说,“但这种(恐惧、不确定和怀疑的气氛)对董事会并不起作用,CISO可能会逃脱一次,但如果他再次这样做,他所要做的就是把董事会除名。”
他表示,董事会当然需要数据,但他们希望这些信息能够让他们做出明智的决定,决定在哪里最好地投资证券,以降低最大风险。
7.获得拥护者
安全解决方案公司LogRhythm的首席信息官詹姆斯·卡德(James Carder)与一位具有技术背景的董事会成员建立了关系,并寻求他作为导师,帮助他准备董事会会议,审查提交给董事会的材料,并代表他倡导安全战略。
他建议其他CISO也这样做。
卡德说:“在董事会上找一个拥护者。他们会在你向董事会介绍之前给你反馈意见,就什么话是重要的,什么会引起其他成员的共鸣提出建议。当你不在董事会时,冠军可以与董事会就安全问题进行对话,推动你想要的变革。”。
8.开门见山
CISO习惯于在会议上进行演讲,其中有一个要点,但这种方法不适用于重视时间的董事会。
克莱德说:“不要开玩笑。从一开始就抓住重点。董事会想提前知道你为什么会在那里。”。“如果董事会需要采取行动,例如,他们需要考虑购买网络安全保险,或者制定一项政策,在发生勒索软件攻击时是否支付赎金,那么就要提前确定。”
他说,CISO可以在时间允许的情况下提供支持信息,认识到董事会成员可以在会议之前提交的书面材料中获取任何需要的信息。
9.跳过技术谈话
卡德说,他曾向董事会过度传达过他的安全工作,他知道,当董事会成员多次不得不停止他的演讲,询问他使用的术语和描述的概念时,他犯了一个错误。
“我以为他们知道某些安全技术术语,”他说,“然后我意识到,我过度传达了所有这些细节,而不是简洁地传达风险。”
卡德现在更加意识到在他的演讲中留下深刻的技术信息;没有关于最新的攻击或最新的数据丢失预防技术或选择的SIEM供应商或入侵检测产品的详细信息。相反,他将谈话重点放在围绕安全性的高级点上,并以简单的商业术语呈现信息。
10.展示商业价值
许多CISO难以计算其安全投资的业务ROI,但董事会想知道的是其安全风险和投资的业务影响。
这就是Hayslip的目标。“我展示了我的项目如何影响赚钱的团队;它展示了我们如何帮助他们做他们所做的事情,”他说。
他曾在一家公司工作,由于恶意软件,该公司每月有大约50台机器下线,因此他投资了技术以降低每月的平均值。当他进入董事会时,Hayslip没有关注新技术的成本,而是关注投资通过降低补救成本和减少停机时间为组织带来的价值。
“这是你必须谈论的价值故事,加上你正在降低风险的事实,”他说。
11.确定成功的衡量标准
Chinn说,CISO应该反思他们是否向董事会充分传达了信息,因为他们知道,他们传达安全战略的业务影响的程度与其安全战略将获得多少支持和资金相关。
Chinn认识一位首席信息官,他判断自己在这一领域的成功与否的依据是,当公司数据泄露成为新闻时,董事会成员的反应如何。
“他说,他知道,当董事会成员在收到违规消息后提出明智的问题或根本没有问题时,他在通知董事会方面做得很好,因为这表明他们信任他作为CISO,”Chinn说。
12.抓住机会
克莱德表示,CISO应向全体董事会提交,并指出,许多CISO不是向全体董事,而是向审计和风险委员会提交。如果他们还没有进入董事会的议程,他们应该采取主动。
此外,CISO应将其在董事会面前的时间视为宣传强大网络安全计划重要性的机会,并就组织网络安全职能的优势、差距和战略进行教育。克莱德说,ISACA建议CISO每年至少与董事会举行一次会议。
“这是为了建立信任,”海斯里普说。“董事会可以看到你正在完成工作,他们不仅知道你了解你的工作,而且知道你了解业务,你正在调整你的安全计划以支持这一点。”
本文:https://cioctocdo.com/12-tips-effectively-presenting-cybersecurity-board
- 登录 发表评论