15 年多來，網絡安全行業一直在談論與 董事會. 供應商通常會提供電子書、網絡研討會和演示文稿，介紹首席信息安全官 (CISO) 應該如何以及向他們的董事會展示什麼——只要有機會。

除了缺乏機會外，CISO 可能會對向董事會做報告感到焦慮，因為他們是唯一沒有自己工具的 C 級管理人員 衡量投資回報率. 從 Salesforce 到 Workday 再到 Marketo，C-suite 高管擁有平台解決方案來匯總、分析和報告運營的各個方面。 CISO 沒有這樣的解決方案，這使得衡量安全計劃的投資回報率或展示商業價值變得更加困難。

具有諷刺意味的是，儘管有興趣向他們展示，但說網絡安全不是董事會的核心競爭力是輕描淡寫的說法。 WSJ Pro 網絡安全研究 調查了所有標普 500 董事會成員的專業背景，發現只有不到 2% 的人“在過去 10 年中擁有網絡安全方面的相關專業經驗”。

無論你是誰，都很難對你不了解的事物產生極大的興趣。 也就是說，直到你有學習的動力。 現在擺在我們面前的是美國證券交易委員會 (SEC) 對董事會和網絡安全的一次偉大覺醒。

根據 “哈佛商業評論”，“擬議的 SEC 規則將要求公司披露其網絡安全治理能力，包括董事會對網絡風險的監督、管理層在評估和管理網絡風險中的作用的描述、此類管理層的相關專業知識以及管理層在實施公司網絡安全政策、程序和戰略。”

我希望更多的董事會現在開始尋找具有網絡安全背景的經驗豐富的高管。 與此同時，這對 CISO 意味著什麼？

一個很好的機會

由於突然對網絡安全產生了興趣，但對此知之甚少，董事會成員想知道的與他們需要知道的可能大相徑庭。 例如，過分關注頭條新聞中的最新攻擊或過分關注合規性。 就像應試教學一樣，實現合規性可能是朝著正確方向邁出的良好一步，但並不總是與努力實施最佳安全措施相同。 當實現合規性成為安全目標而不是最小化風險和保護最關鍵的資產時，我們就錯過了重點。

CISO 有機會為他們的組織創建一個“網絡安全作為業務推動者”的敘述。 您在董事會中的位置現已確定。 您現在不再是偶爾的一次性更新，而是持續參與業務對話。 這是一個將網絡安全置於董事會理解的業務決策背景下的機會。 摒棄首字母縮略詞和有關威脅、漏洞和攻擊的技術討論。 精通商業語言，談論每天做出的商業決策的網絡後果。

使用 SaaS 應用程序可提高員工在混合工作環境中的工作效率，同時也使組織更容易面臨風險，因為關鍵業務數據現在由第三方控制。 推動地域擴張、盡快將新應用程序推向市場以獲取市場份額或收購以擴大工程團隊的業務合作夥伴關係都會產生巨大的網絡安全後果。 例如，當你收購一家公司時，你也繼承了它的攻擊面。 需要訪問企業資源的不僅是新員工群體，還有他們的所有承包商、合作夥伴、供應商等。 它是一個由關聯資產和影響組成的複雜、擴展的數字網絡。

安全領導者最好在商業環境中使網絡安全切實可見。 與業務的任何其他部分一樣，需要做出決策和權衡取捨，所有這些都與組織願意承擔的可接受風險水平有關。

自動化和證據

在 SEC 的眼中，董事會需要證據證明其負責哪些資產以及如何對其進行監控和主動保護。 在發生違規事件時，董事會是什麼時候知道的，反應和披露事件的速度有多快？

首先要知道您在保護什麼以及您是如何保護的。 關鍵資產的發現成為支持現代網絡安全計劃中可見性、分類和補救工作的核心能力。 發現和分類必須自動化，以處理跨混合雲、SaaS 合作夥伴和數字供應鏈的數據和企業連接資產的規模、移動和增長。 保護始於對這個龐大的攻擊面的完全可見性，包括所有面向公眾的資產中的每個依賴項、連接和漏洞。 從那裡，您可以優先保護您最有價值的資產免受最嚴重的威脅。

自動發現還可以識別休眠、未使用和不必要的資產。 這樣，它們就可以有效地退役，以減少 網絡風險 並同時攻擊面蔓延。

結論

現在不是教育董事會了解惡意軟件和勒索軟件之間區別的時候。 它是關於全面描繪威脅形勢以及組織面臨的特定風險和風險。 CISO 應該討論整體安全計劃和戰略計劃，以在衡量和降低風險的同時支持業務。

幫助董事會了解企業在哪裡容易受到攻擊，控制在哪裡結束，暴露在哪裡開始。 後果和保護方案是什麼？ 歸根結底，網絡安全是一項業務挑戰，例如不斷增長的利潤率和市場份額。 與業務目標一致的戰略重點和投資。 聽起來很簡單。

• SEO 支持的內容和 PR 分發。 今天得到放大。
• 柏拉圖區塊鏈。 Web3 元宇宙智能。 知識放大。 訪問這裡。
• 資源： https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now