高管如何有效更新董事会关于网络安全的动态

关键要点

• 随着网络安全问题日益严重，各公司需认真对待信息安全更新。
• 首席信息安全官（CISO）在向董事会传达网络安全状况和计划时，需以通俗易懂的语言进行沟通。
• 更新内容包括风险变化、优先风险、安全成熟度、现有和新安全计划及安全事件。
• 数据和指标对于传达安全团队的表现和决策至关重要。

在过去几年中，随着大量高知名度的数据泄露和网络攻击事件的发生，网络安全已成为全球上市公司和私营企业董事会的关注焦点。首席信息安全官（CISO）负责向组织的董事会更新过去的威胁、潜在风险以及为防止这些风险所采取的缓解措施。这是一项绝不可或缺的责任。

“即使是经验丰富的CISO，向董事会汇报也是需要投资时间和精力的大项工作——没有人会对会议的进展感到自满，”沃达丰CISO艾玛·史密斯说。

将复杂的议题传达给专业技能可能不在此领域的听众是一项挑战。要有效更新，CISO不仅需要传达自上次更新以来发生的事件，介绍新的网络安全计划，并讨论风险环境的变化，还需要在商业背景下进行沟通。

RSA大会™ （ESAF）最近对多名CISO进行了调查，研究他们在准备和向董事会沟通时的做法，包括如何决定包含哪些信息，以及如何让商业导向的团队理解非常技术性的话题。此次研究由来自全球公司的15名CISO组成的ESAF项目委员会主导，包括拜耳、资本一号、思科、Evernorth（Cigna）、HCAHealthcare、印度信息科技（Infosys）、Leidos、利宝互助、麦克森、Meta平台、宝洁、索尼、沃达丰和沃尔玛。ESAF发布了其，其中包含了全球顶级品牌CISO的丰富见解，并提供了真实的、匿名的董事会会议的图表和数据。以下是一些主要发现。

了解董事会的目标

董事会需要确保组织的安全风险得到妥善管理。如果发生泄露事件，并且随后显现出董事会未能尽职监督公司的安全措施，董事会成员可能会承担法律责任。因此，CISO在向董事会传达组织的网络安全战略及实现该战略的计划时，需使用通俗易懂的语言，以获得董事会的支持。

“如果你的战略和执行方式无法赢得董事会的支持，那就成为你目前角色的生死攸关问题，”思科高级副总裁兼首席安全与信任官布拉德·阿金在与RSA大会的中表示。“能够以非专家的方式引导他们并让他们感到舒适，这是一项沟通挑战。对一个大多数时间都在面对IT问题的人来说，这可能很困难。”

由于董事会成员在商业和金融方面的专业知识，CISO需要提供全球风险概况的背景，以及与其组织特定的网络安全风险相关的背景。“有一个教育过程，因为许多时候，他们在《华尔街日报》上看到的可能并不是我和我的环境中的主要风险，”阿金表示。“我需要帮助他们理解我对我们组织面临的风险环境的看法。”

提供平衡的视角

更新董事会时，有许多因素决定要关注的主题及其详细程度。根据董事会的期望、公司的行业及监管环境、商业目标和CISO自身的观点，通常应包括以下主题：