常莽

行業(yè)專(zhuān)家指出，企業(yè)高管和董事會(huì)成員在面臨安全威脅時(shí)需要將更多的精力放在網(wǎng)絡(luò)安全上。首席信息安全官需要通過(guò)SolarWinds安全事件等危機(jī)將安全性轉(zhuǎn)化為業(yè)務(wù)策略。

Abacus公司首席信息安全官Bill Brown指出，像Solar Winds這樣引人注目的網(wǎng)絡(luò)安全漏洞事件應(yīng)該引起企業(yè)高管和董事會(huì)成員的關(guān)注。他曾擔(dān)任3家公司的信息安全負(fù)責(zé)人，他表示任何公司的企業(yè)高管通常在聽(tīng)說(shuō)出現(xiàn)最新的安全漏洞后，都會(huì)打電話(huà)給他以尋求安全保證。他們會(huì)說(shuō)：“這種事件會(huì)發(fā)生在我們公司嗎？我們應(yīng)該如何應(yīng)對(duì)？”但是現(xiàn)在許多董事會(huì)成員對(duì)此無(wú)動(dòng)于衷。

SANS研究所新興安全趨勢(shì)負(fù)責(zé)人John Pescatore表示，雖然SolarWinds安全漏洞事件成為了頭條新聞，但需要考慮對(duì)企業(yè)業(yè)務(wù)帶來(lái)的其他影響，例如新型冠狀病毒疫情。他說(shuō)：“對(duì)企業(yè)董事會(huì)來(lái)說(shuō)，網(wǎng)絡(luò)安全是他們承擔(dān)責(zé)任所涉及的眾多風(fēng)險(xiǎn)之一，而對(duì)于大多數(shù)公司而言，這并不是最大的風(fēng)險(xiǎn)?！?/p>

在Trend Micro公司和Enterprise Strategy集團(tuán)最近進(jìn)行的一項(xiàng)調(diào)查中，約有85 %的安全負(fù)責(zé)人表示，與兩年前相比，企業(yè)董事會(huì)在安全決策和戰(zhàn)略方面的參與度更高。但是，由于重大泄露事件、新的合規(guī)性要求或業(yè)務(wù)信息安全官的安全計(jì)劃，這些高管才會(huì)關(guān)注。

該報(bào)告建議，企業(yè)需要增加業(yè)務(wù)信息安全官的職位以改善業(yè)務(wù)安全一致性，其職責(zé)是建立自上而下的可衡量項(xiàng)目，并更改報(bào)告結(jié)構(gòu)，以便首席信息安全官直接向企業(yè)首席執(zhí)行官報(bào)告。歸根結(jié)底，首席信息安全官有責(zé)任與企業(yè)高管和董事會(huì)建立密切關(guān)系，并與他們進(jìn)行定期對(duì)話(huà)。

為了保持發(fā)展勢(shì)頭，首席信息安全官必須以業(yè)務(wù)術(shù)語(yǔ)提供穩(wěn)定的信息流，并以風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全戰(zhàn)略的形式（不僅是技術(shù)解決方案）讓企業(yè)董事會(huì)保持關(guān)注。安全主管和分析師提供了一些技巧、工具和框架，以幫助將安全性轉(zhuǎn)化為策略并確保網(wǎng)絡(luò)安全。

與商業(yè)模式相匹配

SANS公司安全意識(shí)總監(jiān)Lance Spitzner說(shuō)：“首席信息安全官必須具有周全的策略，并且有戰(zhàn)略業(yè)務(wù)工具才能做到這一點(diǎn)?！盨ANS公司為安全領(lǐng)導(dǎo)者提供了為期5天的類(lèi)似MBA課程，以了解企業(yè)高管和董事會(huì)用來(lái)衡量風(fēng)險(xiǎn)和制定策略的業(yè)務(wù)模型和框架。首席信息安全官可以研究PEST模型、SWOT分析、平衡計(jì)分卡，或如何將能力成熟度模型與NIST網(wǎng)絡(luò)安全框架相結(jié)合，以向企業(yè)董事會(huì)成員傳達(dá)其不同戰(zhàn)略安全計(jì)劃的成熟度。

Spitzner指出，首席信息安全官不必了解所有的這些模型，只需了解對(duì)企業(yè)董事會(huì)至關(guān)重要的模型即可。他們需要與企業(yè)董事會(huì)成員交談，并詢(xún)問(wèn)他們?cè)诙聲?huì)會(huì)議中使用哪種類(lèi)型的模型。

一些行業(yè)特定的安全框架也促進(jìn)了企業(yè)董事會(huì)的討論。Abacus公司最近完成了HITRUST認(rèn)證，這是醫(yī)療保健領(lǐng)域的一個(gè)通用安全框架，受保護(hù)的健康信息組織經(jīng)常需要此框架。Brown表示，這些認(rèn)證使企業(yè)的安全活動(dòng)更加結(jié)構(gòu)化，包括與董事會(huì)成員溝通方面的要求。其中一些控制措施包括與執(zhí)行團(tuán)隊(duì)進(jìn)行定期對(duì)話(huà)，討論他們?cè)诒Ｗo(hù)資產(chǎn)方面的角色以及業(yè)務(wù)合作伙伴角色，其責(zé)任與首席信息安全官相同。

數(shù)據(jù)可視化工具還可以幫助首席信息安全官更好地將網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)化為業(yè)務(wù)影響。Brown為Abacus公司創(chuàng)建了一個(gè)季度熱圖圖表，該圖表使用顏色表示表中的數(shù)據(jù)值，從綠色的低概率、低影響問(wèn)題到紅色的高概率、高影響問(wèn)題。數(shù)據(jù)值顯示了已確定的潛在風(fēng)險(xiǎn)，在A(yíng)bacus公司發(fā)生的每種可能性以及發(fā)生的影響，其中包括對(duì)客戶(hù)、對(duì)業(yè)務(wù)的看法以及與供應(yīng)商和合作伙伴的關(guān)系的影響。他的團(tuán)隊(duì)定期監(jiān)視和更新此數(shù)據(jù)。

Brown說(shuō)：“企業(yè)董事會(huì)期待看到自從上個(gè)季度以來(lái)熱圖的變化。如果某個(gè)事件具有高潛力、高影響力，可以討論安全團(tuán)隊(duì)正在做什么，以使他們的可能性或影響力降低。”

以競(jìng)爭(zhēng)對(duì)手為基準(zhǔn)進(jìn)行衡量

Pescatore說(shuō)，企業(yè)董事和高管們希望首席信息安全官以競(jìng)爭(zhēng)對(duì)手為基準(zhǔn)衡量自己的工作，這類(lèi)似于首席財(cái)務(wù)官和首席運(yùn)營(yíng)官向企業(yè)董事會(huì)展示的內(nèi)容。他說(shuō)：“企業(yè)董事會(huì)成員希望聽(tīng)到，在安全計(jì)劃或保護(hù)供應(yīng)鏈方面，是比競(jìng)爭(zhēng)對(duì)手更差還是更好？但通常很難做到這一點(diǎn)?！钡怯泻芏噘Y源可以提供幫助，美國(guó)信息共享和分析中心委員會(huì)是一個(gè)針對(duì)特定行業(yè)的組織，主要負(fù)責(zé)收集和共享有關(guān)對(duì)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅的信息。

美國(guó)信息共享和分析中心還促進(jìn)了公共部門(mén)和私營(yíng)部門(mén)團(tuán)體之間的數(shù)據(jù)共享。該中心列出了24個(gè)行業(yè)作為參與成員，其中包括醫(yī)療保健、零售、酒店、金融服務(wù)、媒體、石油和天然氣。Pescatore說(shuō)：“人們有能力團(tuán)結(jié)起來(lái)應(yīng)對(duì)這種情況，只是沒(méi)有被充分放大?！?/p>

利用立法的推動(dòng)

SolarWinds對(duì)美國(guó)政府機(jī)構(gòu)的攻擊使新的行政管理著眼于強(qiáng)化美國(guó)的網(wǎng)絡(luò)安全防御。美國(guó)聯(lián)邦隱私立法的要求也在不斷提高，近年來(lái)提出的一些法案可能最終會(huì)受到關(guān)注。這是一個(gè)熱門(mén)話(huà)題，美國(guó)國(guó)會(huì)需要對(duì)新的聯(lián)邦法律可以取代已經(jīng)生效的州立法達(dá)成共識(shí)。例如，《加利福尼亞州隱私權(quán)和執(zhí)行法》（CPRA）于2020年11月通過(guò)，將于2023年1月1日全面生效。該法律要求該州總收入超過(guò)2 500萬(wàn)美元的企業(yè)必須提供合理的網(wǎng)絡(luò)安全保護(hù)措施，提交年度網(wǎng)絡(luò)安全審核，向新成立的加利福尼亞隱私保護(hù)局提交風(fēng)險(xiǎn)評(píng)估的監(jiān)管文件，并要求合同條款和其他保護(hù)措施來(lái)解決供應(yīng)鏈安全和隱私風(fēng)險(xiǎn)。美國(guó)其他8個(gè)州也有類(lèi)似版本的隱私法規(guī)。

分析師表示，首席信息安全官應(yīng)將關(guān)注點(diǎn)放在新法規(guī)上，以分享積極的網(wǎng)絡(luò)安全措施和投資如何使企業(yè)達(dá)到合規(guī)性。

建立良好的人際關(guān)系

分析師指出，首席信息安全官不僅需要隨時(shí)征求信息請(qǐng)求或召開(kāi)季度會(huì)議，還需要與高管和董事會(huì)建立和培養(yǎng)關(guān)系。《全球CISO的戰(zhàn)略與策略和領(lǐng)導(dǎo)力》一書(shū)的作者M(jìn)ichael Oberlaender表示：“應(yīng)該始終保持開(kāi)放的溝通，而不僅僅是在重大危機(jī)期間，這是核心問(wèn)題，否則安全就會(huì)被忽視?！?/p>

Brown說(shuō)：“建設(shè)良好的人際關(guān)系可以獲得盟友的幫助。一旦發(fā)生不幸的事情，已經(jīng)擁有了這種關(guān)系，所有人可以一起解決問(wèn)題而不是相互指責(zé)?！?/p>