CxO见解：向董事会报告网络安全

作者：Clarke Rodgers , AWS企业战略师
日期：2021年12月28日

重点提取

• 向董事会讨论和报告网络安全的有效策略。
• 重要提示包括：提供背景、简明扼要的报告、提升技术语言的可理解性、与安全标准对齐、了解董事会成员及进行周期外通知。

在过去的几个月里，我与C级管理人员的讨论中，最常见的话题之一就是如何有效地向组织的董事会（BoD）和高级领导团队（SLT）报告和/或讨论网络安全。

背景

在深入细节之前，我想先明确这篇博客的目标受众。我与不同规模、行业和成熟度的企业进行交流。这篇文章不打算解决每种情况，而是基于我与客户进行的一对一和一对多的讨论，涵盖大多数常见情况。在一端，首席信息安全官（CISO）可能会每季度与其董事会会面，拥有审计委员会成员的手机号码，并且有幸获得董事会成员的关注。相对而言，在另一端，网络安全只能在首席信息官（CIO）或首席技术官（CTO）的技术概述中占据五分钟，且常被视为商业运营中的必要恶，而董事会成员对此几乎不感兴趣。就像许多情况一样，你的组织大概率落在这两者之间。最后，虽然我将出于一致性使用BoD这一术语，但你可能没有BoD；如果是私营公司，请将BoD概念替换为你组织内的最高决策机构。

随着组织日益数字化，网络安全话题在各个企业中愈发重要。建立成熟的安全文化、在开发管道中及早融入安全、测试事件响应计划日益成为常态。云和网络安全的流利程度已经渗透到最高管理层的日常用语中。而且，随着那么多引人注目的网络安全事件吸引了董事会的注意，他们开始提问“这会发生在我们身上吗？”和“我们是否受保护？”因此，建立强大的网络安全态势的需求使得董事会更加关注网络安全，而随之而来的责任就是CISO要以清晰简明的方式报告与业务相关的及时信息。

以下是一些CISO（或其他负责网络安全的CxO）可以利用的技巧，最大化他们与董事会有限的交流时间：

统计数据缺乏背景无用

补丁状态、漏洞扫描结果、安全修复完成率等都是需要跟踪的重要数据，但通常不适合直接与董事会沟通，也不需要让他们深入了解你安全计划中的细节。需要明确的是，安全指标仍然很重要，可以作为附件提供给感兴趣的人，但直接以统计数据作为开场并不是最佳策略。相反，要重点强调你的安全计划为业务带来的价值。了解业务优先级并据此调整报告内容。

例如：“作为对我在上次会议中提到的项目的更新，它已使A业务单元的安全修复工作减少了X%，因而能够提前完成关键功能Y- Z的安全交付。我们现在将把相同的计划推广到其他业务单元，预计会有类似的成果，进而实现更多用户参与/消费等。”最后，需要意识到，在某些情况下，一个业务单元的风险容忍度可能与另一个不同；并非所有情况下都适用同一种方法。CISO必须理解这些细微差别，并准备好相应表述他们的观点。

提升技术语言的可理解性

网络安全专业人士容易陷入技术细节，谈论威胁、漏洞等各种可能出现的问题，以及这些问题间的关联。尽管这是我们相对熟悉的领域，但我们的主要责任之一是用其他人能理解的语言来阐述这些风险。董事会通常以声誉、财务、运营和集中度等方面来理解风险。因此，在向董事会报告网络风险时，需关注以合适的方式进行报告。比如可以说：“A业务单元的收入/客户增长可能会在下个季度受到X%的影响，因为他们有待解决的安全清单中的问题。目前其中一个问题正受到犯罪团伙的利用。我的团队可以提出一些补救措施，但需要一些额外的资金/工作等”，而不要说：“A业务单元上个季度没有修补他们的325台Linux服务器，目前有一个零日漏洞在利用中。我的团队可能能够解决这个问题，但我们需要资金来实现。”

与安全标准对齐

许多董事会想知道“我们在行业内和/或与竞争者的比较情况如何”。虽然你可以对这种观点有所质疑，但这是一个常见的问题，因此你应有所准备。为了有效回答这个问题，你应该将安全计划与一些标准对齐，以便比较数据有意义。我们的许多受监管客户熟悉NIST800-53、SOC、NYDFS、ISO27001等，但即使你不在受监管行业，能够将自己与某个标准进行对比，也是进行客观评估的极好方法。CIS基准是一个良好的起点，云安全联盟和NIST- CSF同样适用。最后，如果你是多个ISAC的成员，利用那些经验来向董事会描绘你的组织相对于同行的状况。

了解你的董事会

深入了解你的董事会成员很重要。调查他们是谁、各自的背景以及他们所参与的其他董事会。了解董事会有助于你更好地将网络安全信息放入让他们关心的上下文中。寻找机会在报告周期之外与董事会成员建立关系——记住，他们也是人，他们同样喜欢咖啡、午餐和晚餐！我认识的一位CISO客户甚至主动联系了一家竞争公司的CISO，该公司与他分享了同一个董事会成员，以更好地了解如何与该董事会成员互动。虽然他们在商业上是竞争对手，但这两位CISO分享知识，增强了各自的组织并提升了在董事会面前的表现。还有一位CISO经常与他们的审计委员会负责人进行短信交流——就如生活和商业中的许多方面一样，发展关系和信任才是最重要的。

非周期性通知董事会（网络安全营销）

尽管你可能每年向董事会报告一到四次，但这并不意味着交流仅限于这些时刻。考虑策划一份“网络安全更新”电子邮件简报，分发给你的高级领导团队和董事会。内容包括与行业相关的当前安全事件（例如，一些很好的资源包括krebsonsecurity.com、darkreading.com、国家和国际新闻网站，当然也可以使用如IANsresearch.com之类的付费选项等），内部安全/合规计划的更新，以及适当情况下的内部安全“表扬”。这些更频繁的更新将使SLT/董事会更好地了解董事会会议间发生的情况，从而使报告时的面对面讨论更加专注。

结尾

最终，你必须与董事会建立关系。你不仅仅是教育者，更是一个值得信赖的顾问、业务顾问和风险评估者。如果你只是将自己视为“安全技术人员”，董事会也会相应地将你视为这样。

以下是一些我在与客户讨论中发现有帮助的第三方链接，希望对你也有所帮助。

— Clarke