随着对网络攻击的监管不断加强,越来越多的高管认识到这些攻击的本质——对业务运营、盈利能力和业务生存能力构成严重威胁。 但是,掌权的董事会呢?他们是否获得了所需的所有信息?他们是否了解您组织的网络安全计划?他们明白为什么这些举措很重要吗?可能不是。
据《哈佛商业评论》报道,只有 47% 的董事会成员定期与他们的首席信息安全官接触。 网络安全现实与董事会意识之间似乎存在巨大的脱节。 在发生网络危机时,组织的董事会在做出客户、公众和监管机构进一步要求的关键决策方面发挥着关键作用。
董事会参与的价值
IBM 的 2023 年数据泄露成本报告证明,网络攻击和数据泄露的成本正在逐年增加。 与 2020 年相比,2023 年数据泄露的成本增加了 15 倍3%。随着数字化转型的努力,许多组织的攻击面也在增加。
随着恢复成本的飙升,需要保护更多的技术,董事会需要参与关键决策,并应了解有哪些类型的保护措施。 董事会负责确保组织保持盈利并对利益相关者负责。 当网络危机来袭时,消息不灵通的董事会可能会感到沮丧和措手不及。 最好尽早告知他们与安全相关的工作。
多年来,美国证券交易委员会 (SEC) 一直在考虑实施网络安全要求,这些要求由董事会承担,以确保合规性和所有权。 新提议的规则要求上市公司披露董事会成员是否具有适当的网络安全专业知识和足够的意识来应对其组织内的网络危机。 这一要求代表了组织越来越希望对数据安全拥有更多的所有权,并将网络危机活动的额外后果强加给董事会和负责通知他们并为他们提供关键危机响应能力的人员。
让董事会参与似乎是一项艰巨的任务,但组织可以采取一些措施来确保董事会与网络安全目标保持一致。
第 1 步:教育委员会
请务必概述影响组织及其运营地点的最新法规。 那些不担任安全角色的人可能不知道违规通知时间表或披露阈值的复杂性。 确保董事会了解安全团队在组织内的运作方式。 确保他们了解用于增强其响应的不同供应商。 此外,让董事会成员熟悉应对计划,即使是在高层,也可以进一步加强网络安全领导层与董事会成员之间的联系。 第 2 步:与董事会成员建立共同语言
与您的董事会建立共同的安全语言。 这意味着要确保每个人都知道首字母缩略词代表什么(咳咳、csirp、csert 等——它们已成为安全专业人员的第二天性,但不是其他人)。 此外,确定对一般安全术语和威胁的基本了解。 在组织内有一个共同的定义是个好主意。 定义什么是危机,什么不是。 通过制定网络危机管理计划,您的组织将拥有基线资格标准和定义。 我们之前已经见过很多次,当团队在危机来袭之前就这些问题达成一致时,这会导致很多问题。 第 3 步:争取支持
利用内部和外部资源来支持您的网络安全计划。 动员组织的高层管理人员在整个组织内培养深厚的安全文化。 向董事会提供高质量的威胁情报简报可以提供针对董事会成员关心的战略目标量身定制的意识和观点。 IBM X-Force Threat Intelligence 已准备好为您的董事会提供定制的威胁情报。 X-Force 拥有丰富的知识,可帮助您准备和了解组织的董事会。 寻求董事会内部的支持——有些人,包括董事会成员,天生就是安全迷。 让这些人更多地参与进来,他们就会成为你的支持者。 帮助他们了解更多信息。 您甚至可能已经有一位网络安全专家在您的董事会中。 第 4 步:与董事会进行有效沟通
每月或每季度向董事会提供高级安全更新,重点介绍关键工作,包括产品实施、桌面或模拟结果,以及任何其他重要的安全活动。 确保对话保持非技术性,并提供关键指标。 这些利益干系人不需要所有细节,但了解角色、时间表以及他们何时需要参与会很有帮助。 请记住,安全响应是一项整体业务工作,董事会是其中的一部分。 保持沟通渠道畅通,并让董事会参与任何安全通讯或内部宣传活动。 第 5 步:练习 习
如果董事会想要一个更实用、更身临其境的场景,它需要通过可靠的服务为这些受众量身定制业务响应挑战。 该团队让董事会成员参与有关法规、业务影响以及健康和安全的对话。 这种经验使董事会成员有机会在安全的环境中应对网络攻击。 与董事会互动和沟通不一定是一项艰巨的任务。 花点时间了解成员的担忧,并为他们提供有意义的更新、威胁情报和指标。 最困难的部分是打开对话渠道并确定各方的需求。 一旦建立了关系,安全团队和董事会将能够更轻松、更有效地进行沟通,组织将能够更好地保护自己。