CISO如何让高管和董事会参与管理和解决网络安全问题

7月26日，美国证券交易委员会最终确定了新的网络安全法规，要求上市公司在四天内披露网络安全漏洞，并提高其董事会的网络专业知识水平，以及对管理和评估网络风险的监督。该机构于2022年提出了这些规定，最终决定预计将于2023年10月做出。

随着企业大规模投资数字化转型，CISO现在比以往任何时候都更应该做好准备，来鼓励其他领导者参与管理和解决网络风险。

数字化企业世界的激烈竞争促使企业领导者不断寻找最新、最伟大的创新技术，以助力他们脱颖而出。

这些技术在不同的计算时代呈指数级发展。它始于集中式大型机，然后在20世纪90年代过渡到微型计算机和个人电脑。然后是互联网时代，再之后是2000年代的移动设备革命，以及2010年代向云计算的扩张。

我们现在已经进入了另一个变革时代：当前的AI和ML军备竞赛虽然令人兴奋，但也为CISO带来了一系列新的运营风险。

精简业务关键功能、缓解瓶颈和提高运营效率的努力使数字化转型成为每个企业的首要任务。当收入和客户满意度受到影响时，采用新技术并了解与之相关的网络风险是势在必行的。

CISO要想成为真正的业务伙伴，对每一个新机会都说“不”是不可行的。但是，知道如何以及何时在不危及组织安全态势的情况下说“是”可能很棘手。

这凸显了简化高管层和董事会对网络风险的集体理解的重要性。CISO的角色不再是战术推动者或纯粹的技术专家。它是关于如何成为一个变革性的领导者，以缩小企业的网络安全和业务运营之间的差距，并帮助推动市场采用和持续成功。

有效地让高管参与进来是基于简化网络风险和业务风险之间的联系。这需要解读网络攻击的影响，并清楚地勾勒出它可能对基本业务目标造成的严重后果，而不是夸大其词地描绘“世界末日”的故事。

在与首席财务官的对话中，这种联系可能是与勒索软件事件导致的运营停机相关的财务损失;对于首席营销官来说，这可能是客户个人身份信息(PII)数据泄露后的品牌声誉受损;对于首席运营官来说，这可能是供应链中断后的业务中断。

这个游戏的本质是传达“不作为”的含义，并将其与各个领导者眼中最有意义的结果联系起来。因为围绕扩展检测和响应(XDR)解决方案、泄漏和分布式拒绝服务(DDoS)攻击的复杂性讨论永远不会与非技术受众产生共鸣。

而且，更深入地说，它也可能在CISO没有真正意识到的情况下给人一种轻视的感觉，从而进一步加剧网络威胁形势的复杂性。

随着网络威胁的性质不断演变，围绕总体网络风险的监管格局也在不断变化。随着美国证券交易委员会新规的生效，董事会终于开始认识到数字时代网络弹性的紧迫性，并进一步承诺为企业配备适当的资源，以主动保护数据和实现自我保护。

这种模式转变的连锁反应是，安全领导者现在比以往任何时候都更多地从董事会获得见解和建议。CAP集团今年早些时候的一项研究发现，在Russell 3000 index公司中有90%缺少一名具备必要网络专业知识的董事。反过来，CISO被要求在董事会中建立和维持一条开放的沟通渠道。

考虑到严格的合规要求即将生效，董事会需要快速、持续地更新网络威胁形势。在这种情况下，有效的参与需要对最终目标有坚定的理解。这并不是要求组织的主要管理机构进行网络预算或批准的问题。相反地，这是一份请愿书，让人们相信，该组织有能力在网络危机中管理好自己，并在遵守相应法规的情况下缓解其后果。

在董事会环境中，时间是至关重要的——首席信息安全官通常只有15到30分钟的时间来陈述自己的观点。所以，不要使用大量的ppt和冗长的演讲，而是利用有影响力的讲故事技巧和合乎逻辑的真实世界的例子来引起共鸣。

这不仅仅是为了表达网络风险，而是要让他们切实地感受到它的影响。