這篇"Working together for better security: Three questions CEOs should ask their CISOs"是由Paul Paget所寫、2024年2月14日刊載於Fast Company網站。以下介紹這三個問題。
網路安全風險現在是企業領導人之間的討論重點,執行長比過去受到更大的壓力,要有效地向董事會陳述安全策略—這是傳統上沒有訓練過的。
為了更熟悉公司的安全路徑圖,需要仰賴資安長為資產與可信任的顧問。典型上,執行長與資安長的職位並沒有這麼接近,而且彼此沒有太多的溝通。然而,藉由更緊密合作,才更能保障組織的安全。
為創造綜效,你應該知道要問資安長什麼問題。以下三個問題,是向董事會報告策略時可讓你更為明智的:
1.什麼會讓組織脆弱?
傳統上,領導人會關注如何鞏固城堡。但關於安全,護城河與城牆只是保護的一部分。今日的對手與威脅來自於四面八方,像分散及外包的IT基礎設施、遠端工作以及第三方承包商等。
執行長需要意識到內部威脅以外的風險。現在的挑戰是,由其他單位經營的IT系統(比如製造、分配、銷售以及行銷)常不在資安長的職權範圍之內。而這些系統、承包商與供應商的意識,很多根本不足。
將所有單位都納入網路風險評估範圍之內,是面對安全挑戰、為資安長與執行長創造完全意識的關鍵。瞭解風險會從何而來,對於確保敏感資料與資產、預防營運中斷及保護利害關係人而言,非常重要。
2.我們網路安全預算用到何處,以及,是否符合營運目標?
典型上預算較微薄的資安長,會將投資置於組織風險最高的部分,但是未必總會如此。在安全預算上與資安長結合,你可更為明智、並有助於做出更策略性的決定。這可協助你回答董事會的提問,比如組織如何受到保護、安全上可能會有哪些漏洞與弱點。這也可協助你確定可能獲得額外資源之處。
考慮以下幾個問題:
*預算中有多少比例是花在你可控制的事項、控制外的事項?對於控制外的事項,你是否仍負有法律責任?
*你會花錢到第三方風險預防嗎?
*有哪些地方是沒有花錢的,為何?
3.在接受、減少或轉移網路安全風險上,具有哪些流程?
積極規劃及風險管理,對於確保公司安全而言很重要。大多數的安全事故是在未預警下發生的,因此知道預防與減緩安全問題的流程與政策,可協助資安長更佳地幫助執行長。
去詢問:員工與利害關係人有哪些指導方針、用什麼軟體來監控及預防入侵,以及當遭受攻擊時有什麼劇本可參考。對於組織準備安全事宜時,這可設定期望水準。
此外,倡導並參與預演,如此就可讓資安長與遵循協議一致。這麼做可確保你瞭解重大網路攻擊事件發生時的角色,以及組織及其利害關係人應如何盡快、有效地處置。
成功向董事會報告的關鍵要素
在處置關鍵問題之後,你就要準備向董事會報告安全策略。其關鍵的事項包括有:
*概觀威脅局勢中的風險:與當下及新生威脅相關的風險,凸顯對組織的潛在影響。
*遵循與安全衛生中的風險評估:在組織遵循狀態與整體網路安全衛生中所辨識的風險,包括落差或問題的領域
*對事件看法的風險分析:對最近的安全事件以風險為主進行分析,強調風險的重要性,以及用來減緩風險策略的有效性
*在策略安全主張中的風險一致性:此關鍵網路安全主張,是關注於減少具體風險、並支持符合營運目標之風險管理
*投資與投資回報率的風險考量:網路安全投資如何解決關鍵風險?強調關於減少風險並支持營運目標的投資回報率
沒有留言:
張貼留言