這篇"Prepping for your January 2025 board meeting"是由Pam Nigro寫、2025年1月16日在Security網站刊出的。為作者分享開年後資安長在第一場董事會上該做些什麼。
資安長在一月份的董事會上,有重要機會以有效溝通組織安全狀態,並確保符合經營目標。為了盡可能善用此機會,資安長的報告不應該單純就是報告而已,應該是一場告知董事會、並與其互動的策略對話。
這要從先概要介紹最近網路安全局勢開始。這不只是簡單聽取最近趨勢與重大事件。而是藉由強調這些會直接影響組織和該產業之趨勢與事故,提供背景脈絡。藉由將這些外部因素連結到組織具體脈絡,資安長能有效強調—網路安全在今日變動經營環境內的重要性。
下一步,就是以與董事會優先事項一致的方式,來陳述網路安全策略。與其僅關注技術細節,反而要以營運成果來架構策略。說明你的網路安全措施如何帶動達成關鍵營運目標,比如保護營收、維持客戶信任,以及確保監理遵循。當討論長短期目標時,要優先重視會對組織整體成功有最大影響之處。比如,若組織要擴張到新市場,則強調你的策略如何處理和此擴張有關的具體網路安全挑戰。
全面性的風險評估對任何網路安全報告而言很重要。然而,與其只聽取缺點,不如深入一點—就組織暴險提供詳盡的分析。這會讓董事會能快速掌握組織面對到最重要的風險。此外,分析現有風險減緩策略之有效性,並辨識任何需要解決的落差。
當討論網路安全預算時,避免僅單純報告支出項目。相對地,要以投資的方式架構起你的預算要求—如何為組織產生具體回報。對於增加資源,要提供明確且能說服人的理由,強調這些投資會減少重大風險、增進營運效率,並支持企業成長。比如,若要為新的安全資訊和事故管理爭取預算,就要解釋這可如何強化威脅偵測能力、減少事故回應時間,以及最終藉由防範昂貴的安全漏洞而為公司省下多少錢。
為展現網路安全計畫之有效性,要分享對董事會重大且有意義的KPIs。不要只有基本指標(像事故數字),而要關注趨勢及比較。比如,把公司事故回應時間和產業平均進行比較,展現團隊效率。藉由提供背景和展現進展,就能有效溝通網路安全措施。
當討論重大事故時,透明很重要。與其簡單表達事故,要聚焦於學到的教訓、採取的行動,以預防未來類似事故再發生。比如,若最近的事故暴露了組織的控制系統弱點,那就要說明如何處理這些弱點,以及採取了哪些措施來強化整個組織的控制。這會展現對持續改進之承諾,並增強董事會對資安長能管理網路安全風險的信心。
將此透明透擴張到第三方外包商和服務供應商的管理。就組織對第三方的依賴和相關風險,提供一個明確的圖像。討論盡職調查流程如何評估外包商的安全狀態,以及持續監控活動以確保他們維持適當的安全控制。強調任何第三方風險管理流程之重大進展,比如落實外包商風險管理平台,或對外包商採更嚴格的安全要求。
員工訓練與提醒計畫,是強大安全環境的關鍵要素。對於這些計畫如何強化員工行為並降低風險,提供具體案例。比如,分享關於成功辨識和報導釣魚信件員工的故事,或強調因人為錯誤而引發安全事故之減少。這會展現訓練措施的具體影響,並強調具安全意識職場的重要性。
針對會想組織網路安全狀態的新趨勢和技術,提供董事會看法。不只要列出趨勢,還要深入研究對組織的可能影響。比如,討論AI的興起及其對攻擊/防禦網路安全營運之可能使用。說明組織如何準備AI及其他新技術帶來的挑戰和機會,比如量子運算與區塊鏈。
最後,以清楚且可行的建議來總結你對董事會的報告。優先重視最重要的要求,並清楚陳述核准這些要求的效益。比如,若想要他們同意對網路安全技術有重大投資,那就要表達—這些技術如何強化組織的安全狀態、減少風險,並支持企業目標。藉由對其建議提供說服人的案例,就能有效確保董事會的支持,以及網路安全計畫之持續成功。
資料來源:https://www.securitymagazine.com/articles/101296-prepping-for-your-january-2025-board-meeting
沒有留言:
張貼留言