資安長現在越來越受到重視,不過,向董事會報告資安問題時,若報的不好,可能會產生混淆、失望。
這一篇"7 mistakes CISOs make when presenting to the board"裡,作者提出了是7個錯誤,是建議可以避免的:
1.使用太過科技的語言:董事很少是資安專家,用術語會有反效果。董事不喜歡聽不懂的事情,而且因為事務繁雜,能專注的時間很短。
2.關注於錯誤的威脅衝擊:資安長應關注如何讓安全議題使企業開拓新市場與新主張、減少年度損失。若能讓威脅風險連結到對企業服務、或董事會核心策略的衝擊,會很有力。
3.不要只報告制式的網路風險:資安長通常報告的是由其工具而來的網路風險,但並非所有風險都一樣,而且風險評估可能會缺乏少了細微和脈絡。不要只從監理要求來看,因為這與溝通真正的企業風險不同。
4.未能準備可能的問題:資安長的準備不只是蒐集自己以為的領域,還要想想董事會可能問的,還有事先考慮怎麼回答。董事才會知道你不是用猜的,有利於建立信任。
5.過度分享與恐嚇:當提到壞消息時,避免指責或對抗。讓聽眾心理有準備,減少震驚。董事會不喜歡驚訝,特別是壞消息。
6.讓網路安全以成本中心呈現:資安長在向董事會報告時常沒解決過時的看法:安全是成本中心。這個想法必須改變,資安長應該協助董事會看待安全為業務推動者,有助於成長和創新。資安長證明安全有助於營收而不是成本,就可贏得董事會支持。
7.不建立董事會外的關係:資安長未能與董事會成員在會議外互動,是不對的。瞭解聽眾個人與專業的動機,會協助資安長更簡潔地向上報告。資安長可運用這些對話將知道誰有異議。資安長要當個政治人物、銷售員、客戶經理人、媒人與調解人。
網址:https://www.csoonline.com/article/3650658/7-mistakes-cisos-make-when-speaking-to-the-board-of-directors.html
沒有留言:
張貼留言