常莽
行業(yè)專家指出,企業(yè)高管和董事會成員在面臨安全威脅時需要將更多的精力放在網(wǎng)絡安全上。首席信息安全官需要通過SolarWinds安全事件等危機將安全性轉化為業(yè)務策略。
Abacus公司首席信息安全官Bill Brown指出,像Solar Winds這樣引人注目的網(wǎng)絡安全漏洞事件應該引起企業(yè)高管和董事會成員的關注。他曾擔任3家公司的信息安全負責人,他表示任何公司的企業(yè)高管通常在聽說出現(xiàn)最新的安全漏洞后,都會打電話給他以尋求安全保證。他們會說:“這種事件會發(fā)生在我們公司嗎?我們應該如何應對?”但是現(xiàn)在許多董事會成員對此無動于衷。
SANS研究所新興安全趨勢負責人John Pescatore表示,雖然SolarWinds安全漏洞事件成為了頭條新聞,但需要考慮對企業(yè)業(yè)務帶來的其他影響,例如新型冠狀病毒疫情。他說:“對企業(yè)董事會來說,網(wǎng)絡安全是他們承擔責任所涉及的眾多風險之一,而對于大多數(shù)公司而言,這并不是最大的風險?!?/p>
在Trend Micro公司和Enterprise Strategy集團最近進行的一項調查中,約有85 %的安全負責人表示,與兩年前相比,企業(yè)董事會在安全決策和戰(zhàn)略方面的參與度更高。但是,由于重大泄露事件、新的合規(guī)性要求或業(yè)務信息安全官的安全計劃,這些高管才會關注。
該報告建議,企業(yè)需要增加業(yè)務信息安全官的職位以改善業(yè)務安全一致性,其職責是建立自上而下的可衡量項目,并更改報告結構,以便首席信息安全官直接向企業(yè)首席執(zhí)行官報告。歸根結底,首席信息安全官有責任與企業(yè)高管和董事會建立密切關系,并與他們進行定期對話。
為了保持發(fā)展勢頭,首席信息安全官必須以業(yè)務術語提供穩(wěn)定的信息流,并以風險和網(wǎng)絡安全戰(zhàn)略的形式(不僅是技術解決方案)讓企業(yè)董事會保持關注。安全主管和分析師提供了一些技巧、工具和框架,以幫助將安全性轉化為策略并確保網(wǎng)絡安全。
與商業(yè)模式相匹配
SANS公司安全意識總監(jiān)Lance Spitzner說:“首席信息安全官必須具有周全的策略,并且有戰(zhàn)略業(yè)務工具才能做到這一點。”SANS公司為安全領導者提供了為期5天的類似MBA課程,以了解企業(yè)高管和董事會用來衡量風險和制定策略的業(yè)務模型和框架。首席信息安全官可以研究PEST模型、SWOT分析、平衡計分卡,或如何將能力成熟度模型與NIST網(wǎng)絡安全框架相結合,以向企業(yè)董事會成員傳達其不同戰(zhàn)略安全計劃的成熟度。
Spitzner指出,首席信息安全官不必了解所有的這些模型,只需了解對企業(yè)董事會至關重要的模型即可。他們需要與企業(yè)董事會成員交談,并詢問他們在董事會會議中使用哪種類型的模型。
一些行業(yè)特定的安全框架也促進了企業(yè)董事會的討論。Abacus公司最近完成了HITRUST認證,這是醫(yī)療保健領域的一個通用安全框架,受保護的健康信息組織經常需要此框架。Brown表示,這些認證使企業(yè)的安全活動更加結構化,包括與董事會成員溝通方面的要求。其中一些控制措施包括與執(zhí)行團隊進行定期對話,討論他們在保護資產方面的角色以及業(yè)務合作伙伴角色,其責任與首席信息安全官相同。
數(shù)據(jù)可視化工具還可以幫助首席信息安全官更好地將網(wǎng)絡數(shù)據(jù)轉化為業(yè)務影響。Brown為Abacus公司創(chuàng)建了一個季度熱圖圖表,該圖表使用顏色表示表中的數(shù)據(jù)值,從綠色的低概率、低影響問題到紅色的高概率、高影響問題。數(shù)據(jù)值顯示了已確定的潛在風險,在Abacus公司發(fā)生的每種可能性以及發(fā)生的影響,其中包括對客戶、對業(yè)務的看法以及與供應商和合作伙伴的關系的影響。他的團隊定期監(jiān)視和更新此數(shù)據(jù)。
Brown說:“企業(yè)董事會期待看到自從上個季度以來熱圖的變化。如果某個事件具有高潛力、高影響力,可以討論安全團隊正在做什么,以使他們的可能性或影響力降低?!?/p>
以競爭對手為基準進行衡量
Pescatore說,企業(yè)董事和高管們希望首席信息安全官以競爭對手為基準衡量自己的工作,這類似于首席財務官和首席運營官向企業(yè)董事會展示的內容。他說:“企業(yè)董事會成員希望聽到,在安全計劃或保護供應鏈方面,是比競爭對手更差還是更好?但通常很難做到這一點?!钡怯泻芏噘Y源可以提供幫助,美國信息共享和分析中心委員會是一個針對特定行業(yè)的組織,主要負責收集和共享有關對關鍵基礎設施網(wǎng)絡威脅的信息。
美國信息共享和分析中心還促進了公共部門和私營部門團體之間的數(shù)據(jù)共享。該中心列出了24個行業(yè)作為參與成員,其中包括醫(yī)療保健、零售、酒店、金融服務、媒體、石油和天然氣。Pescatore說:“人們有能力團結起來應對這種情況,只是沒有被充分放大?!?/p>
利用立法的推動
SolarWinds對美國政府機構的攻擊使新的行政管理著眼于強化美國的網(wǎng)絡安全防御。美國聯(lián)邦隱私立法的要求也在不斷提高,近年來提出的一些法案可能最終會受到關注。這是一個熱門話題,美國國會需要對新的聯(lián)邦法律可以取代已經生效的州立法達成共識。例如,《加利福尼亞州隱私權和執(zhí)行法》(CPRA)于2020年11月通過,將于2023年1月1日全面生效。該法律要求該州總收入超過2 500萬美元的企業(yè)必須提供合理的網(wǎng)絡安全保護措施,提交年度網(wǎng)絡安全審核,向新成立的加利福尼亞隱私保護局提交風險評估的監(jiān)管文件,并要求合同條款和其他保護措施來解決供應鏈安全和隱私風險。美國其他8個州也有類似版本的隱私法規(guī)。
分析師表示,首席信息安全官應將關注點放在新法規(guī)上,以分享積極的網(wǎng)絡安全措施和投資如何使企業(yè)達到合規(guī)性。
建立良好的人際關系
分析師指出,首席信息安全官不僅需要隨時征求信息請求或召開季度會議,還需要與高管和董事會建立和培養(yǎng)關系。《全球CISO的戰(zhàn)略與策略和領導力》一書的作者Michael Oberlaender表示:“應該始終保持開放的溝通,而不僅僅是在重大危機期間,這是核心問題,否則安全就會被忽視?!?/p>
Brown說:“建設良好的人際關系可以獲得盟友的幫助。一旦發(fā)生不幸的事情,已經擁有了這種關系,所有人可以一起解決問題而不是相互指責?!?/p>