首席信息安全官了解他们的领域。他们了解威胁形势。他们了解如何构建强大且经济高效的安全堆栈。他们了解如何为组织配备人员。他们了解合规性的复杂性。他们了解如何降低风险。然而,在我们与这些安全领导者的对话中,一个问题一次又一次地出现:如何让业务决策者清楚地了解风险的影响?
董事会希望了解风险如何影响收入、治理和增长。他们对漏洞列表或技术细节的注意力有限。当故事变得过于技术性时,即使是紧急举措也会失去吸引力并且无法获得资金。
首席信息安全官需要将技术问题转化为董事会理解的术语。这样做可以建立信任,获得支持,并展示安全决策如何与长期增长直接相关。正是迫切需要弥合 CISO 与董事会的沟通差距,促使我们在 CISO 继续教育中创建了一种新的范式:现代 CISO 向董事会报告风险。
董事会和首席信息安全官之间的脱节
董事会越来越多地对网络风险负责。美国证券交易委员会的规定要求上市公司在四个工作日内披露网络事件,并在年度报告中描述董事会的网络监督。在欧盟,NIS2 要求管理机构直接负责网络安全措施,处以高达 1000 万欧元或全球营业额 2% 的罚款。
董事会跟踪治理、责任和企业价值。CISO 存在威胁、漏洞和控制措施。调查证实了这一差距:Gartner 的 2024 年董事会调查报告称,84% 的董事将网络安全归类为商业风险,但研究发现,只有大约一半的董事会认为他们的理解足以进行有效监督。
CISO 与董事会的一致性从未像现在这样重要,但双方仍然说着不同的语言。在我们与安全领导者的对话中,这一挑战经常浮出水面,以至于我们得出了一个简单的结论:如果这么多经验丰富的专业人士需要这项技能,就应该教授它。
教授如何缩小董事会的差距
目标很明确:董事会需要将网络风险与业务成果联系起来的洞察力。现代 CISO 向董事会报告的风险是从头开始构建的,旨在帮助安全领导者满足这一需求。
该课程教首席信息安全官如何以引起董事共鸣的方式重新构建他们的信息。它侧重于实用技能:超越虚荣指标,转向回答“那又怎样”问题的仪表板,构建董事会可以采取行动的简洁演示文稿,预测和管理难题,以及从财务和战略角度制定预算请求。本课程还介绍了持续威胁暴露管理,作为以结构化、前瞻性方式呈现风险的模型。
五节课中的每节课都设计得实用且易于应用。参与者离开时带着他们可以在下一次董事会会议中使用的方法和模板。重点领域包括:
- 董事会对风险的看法:董事关注什么以及如何将安全视为安全创新和竞争优势的推动因素。
- 清晰的风险沟通:通过构建仪表板来讲述将技术发现与业务影响联系起来的风险故事,从而超越虚荣指标。
- 高影响力的演示文稿:创建简洁、有效的董事会演示文稿,提前与主要高管保持一致,并自信地处理难题。
- 更强大的业务案例:将安全需求转化为财务和战略语言。围绕风险降低价值、总拥有成本以及与公司目标的一致性构建请求。
- 实施 CTEM:应用持续威胁暴露管理的五个阶段,以前瞻性的方式加强安全态势和结构报告。
该课程由 Gerald Auger 博士领导,他在工业界和学术界拥有 20 多年的职业生涯。他曾担任一家大型医疗中心的网络安全架构师,并通过他的 Simply Cyber 平台教授了数以万计的学生。他将实践和教学经验相结合,使该课程对董事会的首席信息安全官具有基础性、相关性和直接用处。
底线
网络安全是业务监督的核心。董事会期望获得清晰且可作的洞察力,而首席信息安全官需要以与治理、财务和战略直接相关的术语来呈现风险。现代首席信息安全官向董事会报告风险报告的设计就考虑到了这些挑战。该课程为安全领导者提供了实用工具,将他们的专业知识转化为董事会可以采取行动的语言。
当 CISO 培养这些技能时,他们从谈论技术指标转向用与业务目标相关的术语来解释风险,并展示安全性如何推动长期增长。这导致与董事的对话更加清晰,对安全计划的支持更加稳定,网络安全在公司整体战略中的作用更强大。
注意:本文由 XMCyber 全球销售工程副总裁 Tobi Trabing 专业撰写。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
