這篇是2025年5月5日在 Help Net Security刊出、Mirko Zorz所寫的"How CISOs can talk cybersecurity so it makes sense to executives"。
多年來,資安長難以讓董事會瞭解安全。很多會感覺被忽視或誤解。但隨威脅增加、規定加嚴,這件事在轉變。董事會現在期待資安長要說他們的語言:風險、金額以及影響。
以下是安全領導人可在現實世界中使用的一些技巧,讓董事會能認同網路安全。
1.將風險轉譯成金額
董事會不是技術人員。大多數董事具備的是財務、法務或營運專長。他們的思維是業務績效、法律責任或股東價值。他們在意的是:
*勒索軟體攻擊會如何造成多少營收損失?
*查核不確實可能會如何影響到客戶信任?
*入侵會如何帶動監理處罰?
當詢問董事會時,網路安全主管需要從術語轉化為風險、財務式的語言。Optiv的全球網路風險和董事會關係副總裁James Turgal說,「董事會是以獲利和財務影響來思考的,不是術語。」
2.關注趨勢,使用簡單易懂的語言
董事會不需要聽取每個威脅警報。但他們要知道的是,事態會變好還是變壞。要展現跨時間取得的進展,比如:
*每季網路釣魚和因應時間的趨勢
*展現員工對模擬攻擊點擊率的指標
*將當前風險與前一季做計分卡比較
>突顯異常狀況:誰變糟了?誰受控制?對落差保持透明,以及你為縮短落差做了什麼。
>避免術語:以簡單的視覺圖像支持。原餅圖或風險熱圖會比數字填滿的試算表更有效。
>簡短呈現更新:董事會會議時間很緊迫。不要鉅細靡遺。以清楚的幾點摘要作五分鐘更新就好:有什麼改變?有什麼風險?你的建議是什麼?
讓安全連結到經營目標
為了將安全與經營目標連結起來,資安長必須瞭解公司的核心任務、辨明安全與其任務之間的關聯。當信任被破壞時,展現會立竿見影的後果:對銷售、品牌忠誠度以及最終的市場占有率之影響。
在與董事會溝通時,Turgal建議讓網路安全措施連結到股東價值。「如果經營目標是保護股東價值,則在業務延續性和增加正常營運時間兩者之間,是有直接關係的。」
在每次會議前,問問自己:
*他們現在最在意哪些風險?
*他們會問我哪些頭條新聞?
*我需要請他們做什麼決定?
而在實務上要回答的問題像:
*我們做得夠嗎?
*我們比起同業如何?
*我們會發生這些事件嗎?
在每次董事會後,做書面總結摘要:你報告了什麼、獲得什麼回饋意見,以及做了什麼決定。這會建立當責性並展現專業主義。當優先事項轉變、預算縮減時,這會有所幫助。你就有一份紀錄是關於哪些獲得同意、為何這件事重要。
建立董事會外的關係
若可能的話,與董事安排一對一的會面,一起討論關鍵風險。詢問他們想要知道更多的事務為何。瞭解他們偏好如何收取資訊。
建立會議以外的關係,會上的驚訝會少一點。
你在董事會上最強的盟友,通常是財務長與法務主管。他們瞭解風險與法律責任,而且他們會說董事會的語言。
與他們一起合作提出你的資訊。請他們對你的資料作壓力測試,並協助強化風險對財務的影響。如果他們站在你這一邊,你的訊息就會更被重視。
資料來源:https://www.helpnetsecurity.com/2025/05/05/ciso-talk-cybersecurity-executives/
.JPG)
沒有留言:
張貼留言