這一篇由Phillimon Zongo撰述的"10 Strategies Chief Information Security Officers Can Use To Improve Board Cyber Risk Reports",於2023年8月9日刊載於Forbes網站上。對於資安長的功能與挑戰,可能不只是外部變動的環境與層出不窮的威脅,還有最基本的,怎麼向董事、經理人講清楚,並且爭取到適當的資源。以下簡要介紹這作者所提出的這10個策略。
根據作者向多個董事會報告網路風險、訓練過上百個資安主管的經驗,要縮短期待落差最快的方法,就是資安長故事說得好,遠離技術性的語言,而以清楚、有影響力的方式溝通網路風險。
以下是作者提出的、資安長可用來強化向董事會報告的10個策略:
1.深度瞭解你的董事會。透過瞭解董事會最深層的恐懼、優先事項與專業,資安長可以遠離一體適用的網路風險報告,並向董事會提出可行的見解。你也可以避免給董事一些他們早就知道的資訊,並給予他們具體、重要的指引。
2.抵抗報喜不報憂的誘惑。如果資安長的能力未達業界平均、其計畫就需要予以資助,或關鍵主張有風險,那就大方說出來。勇氣與透明,是資安長的必要條件。舌燦蓮花的資安長未必好做,給高風險披上糖衣是一個會反噬你的錯誤。資安長在位階升高後,可能會想被賦予權力表達、也可能會謹慎表達。其實只要有清楚的計畫來找出和縮短落差,是可以大方表達你還不知道的。
3.不要當末日論者。散佈恐懼或扮演受害者,會傷害你的信用。比較好的方式是,向董事會確保你所提出的關鍵風險,並建立一個有效的補救計畫。把這件事做好,需要謹慎的平衡—對關鍵風險透明,但不要搞得一副天要塌下來的樣子。
4.避免不必要的指標。一些對帶動改變無益、卻又會引起情緒的指標。
5.瞭解網路安全只是董事會眾多議案中的一項。董事會議程會擠滿關鍵問題,而網路安全只是其中一項。為抓住董事會有限的注意力,必須避免沒有重點而單刀直入。簡潔的論述是透過耐心地修訂幾份初稿、剪除枝葉及精鍊每句話到最清楚的程度。一如William Strunk Jr. 所說的:Vigorous writing is concise。句子沒有贅字、段落沒有不必要的句子、畫像沒有不必要的線條,機器沒有不必要的零件。
6.請同儕經理人先看過你的草稿。要是經理人都難以瞭解某些內容,那一定要重寫,因為董事會很可能也不懂。最終報告必須無瑕、正確,因為第一印象壞了,後面很難板回。
7.不要有多餘的術語。像zero-trust, zero-days, APTs和CVEs這種詞彙,雖然可以讓資安長感覺很專業,但董事會是聽不懂的。相對地,藉由嚴謹地將關鍵風險和策略連結到營運目標與營業價值,可凸顯原因。這需要資安長牢牢掌握企業價值鏈及高價值的數位資產。
8.避免資訊超載但也注意不要過度簡化。避免過度使用陳腔濫調,因為這會聽起來高高在上,對提高你的議題沒有幫助。
9.清楚與精確地說明風險胃納之外的關鍵風險。
10.預測董事會的問題與在意之處。記住,大多數董事有在外面擔任多家公司的董事,可能會在意其他地方出現過的問題。要注意的問題包括:我們會受到最近所公布的違規或漏洞影響嗎?我們對網路安全投資夠多嗎?我們的控制環境有被獨立驗證過嗎?我們對勒索軟體的控制夠健全嗎?
沒有留言:
張貼留言