安全负责人如何向BOSS介绍cyber security

    这可以说是安全工作里一个最重要的问题，也是被大家提起、讨论最多次的问题：

    怎么向BOSS做一个简短的总结，体现价值？

    怎么向BOSS团的每一位去解释安全，解释安全的机制和产出？

    或者怎么要到更多预算（HC、钱、支持等）：

我从以下几个点入手：


• 1 .什么是网络安全？

• 2 .你的责任？

• 3 .BOSS团的每个人可能会成为目标

• 4 .网络安全：您需要了解的内容

• 5 .为什么面临风险？

• 6 .谁是网络攻击的幕后黑手？

---

什么是网络安全？

    网络安全是个人和组织降低网络攻击风险的方式。

    它的核心功能是保护我们所有使用的设备和我们在网上和工作中访问的服务免遭盗窃或损坏。它还涉及保护我们访问的大量数据免受网络攻击或泄露，这可能会扰乱业务并造成财务损失或声誉损害。

作为管理层或者董事会成员，从战略角度看待网络安全非常重要。网络安全对于保障您的运营弹性至关重要，以确保您的业务在事件期间能够继续运行。如果做得好，网络安全可以成为组织内部积极变革的推动者，而不仅仅是对违规行为的反应。例如，采取积极主动的网络安全方法的组织能够快速转变，例如疫情期间的安全实现远程办公的挑战。

网络安全和网络弹性在降低组织的网络风险方面发挥着同等的作用：

• 网络安全的重点是防止黑客渗透您的 IT 系统

• 网络弹性是组织保护自身免受网络攻击、检测、响应网络攻击并从中恢复的能力

对网络安全采取有条不紊、积极主动的方法并落实基本保障措施可以大大降低组织面临的风险。

---

安全负责人作为管理层或者董事会的责任

董事会负责确保根据业务风险偏好识别、评估和减轻实施战略的风险。

2023年网络安全风险报告趋势

    这包括：

• 了解网络事件对业务战略实施带来的风险

• 确保企业有足够的网络弹性来预防、检测和响应网络攻击

    管理层或者董事会成员不需要是技术专家，但确实需要对网络安全有足够的了解，以便与核心或者关键的员工进行建设性讨论，这样您就可以确信网络风险得到了适当的管理。

但是，随着中国相关法律法规的出台，例如网络安全法、数据安全法、个人信息保护法、网络安全审查条例等，网络安全理所当然地被视为高度优先事项。但，相关报告指出，“人们对有效的网络风险管理的构成缺乏了解，而董事会层面缺乏专业知识和对网络安全事务的复杂性认知则使情况变得更加复杂”。

    管理层或者董事会成员可以确保针对其他竞争性业务需求对网络安全进行适当的投资。董事会应靠网络安全专家提供见解，以便董事会能够根据业务风险做出有关网络安全的明智决策。对网络安全有深入了解的高级领导者可以提高其他董事会成员的知识，提高更广泛的员工群体的意识，并为更有针对性的网络安全支出制定业务案例。

---

作为管理层或者董事会成员可能成为目标

    高级管理人员或董事会成员是网络犯罪分子的一个有吸引力的目标，因为他们可以获得有价值的资产（通常是金钱和信息）。攻击者可能会尝试直接针对您的 IT 帐户，也可能会尝试使用与您的电子邮件地址相同的电子邮件地址来冒充您。

    这些攻击是利用员工不愿意挑战组织内高级人员的请求来进行的（我是你领导诈骗）。

    适合目的的安全政策、积极的网络安全文化和易于理解的报告流程都将有助于减轻这种风险。您还应该考虑在线提供的有关您的个人信息（称为您的“数字足迹”）如何帮助试图冒充您的攻击者。

---

网络安全：

    管理层或者董事会成员需要了解的内容

what+when+where+which+why+HOW

1、管理层或者董事会成员了解面临什么风险？

2、面临的风险会在什么时候出现？

3、面临的风险会出现在哪里？

4、哪个/类风险最重要？

5、为什么会这样？

6、我们应该怎么办？

为什么您的组织面临风险？

    重要的是要认识到，任何依赖数字技术的组织都面临网络事件的风险。大多数网络攻击本质上是无针对性的、机会主义的。网络犯罪分子将尝试利用系统中的弱点（或漏洞），而不考虑该系统属于谁或组织的规模。这意味着需要主动识别和减轻网络风险。例如，2017 年的 WannaCry勒索软件攻击很可能是因为软件没有保持最新状态。    

    这种无目标攻击的趋势不太可能改变，因为每个组织（包括您的组织）都对攻击者有价值。这不仅仅是在勒索软件攻击中您可能被要求支付的钱来恢复您的数据。它还包括服务中断、业务损失、声誉受损以及调查攻击和从攻击中恢复的成本。

---

谁是网络攻击的幕后黑手？

    尽管经常被描述，但大多数网络漏洞并不是“复杂而复杂的攻击”的结果。绝大多数攻击仍然基于可以防御的众所周知的技术（例如网络钓鱼电子邮件、常见漏洞等），来源也都是普通黑客、范围攻击等。（90%）

    虽然某些攻击确实非常复杂，但这些攻击通常是由有资金（和动机）资助的敌对外国进行的。（10%）

写到最后：

    希望各位能根据自己的企业特色、老板风格、业务模式、经济布局等去考虑，既要体现安全的价值，也不要出现矫枉过正，遍地树敌的情况，安全是保证机构，是基础能力机构，但企业活着需要的根本能力是业务能力，我们是一个重要的属性，从这个角度来看，可以更好的找准定位，实现价值，无论是技术、合规，无论攻防、舆论，都是我们的战场。

原文始发于微信公众号（KK安全说）：安全负责人如何向BOSS介绍cyber security