3min. read

對於許多擔任資訊安全長 (CISO) 職務的人來說,向董事會進行報告已經變成一項被動完成卻又非常必要的工作。畢竟每一位董事會成員都位居公司的最高管理階層,安全專業人員當然有責任向他們進行報告。不過,CISO 與董 事會之間的互動應該不只侷限於針對安全事件 例如 Log4j 弱點, 進行溝通、基於法規需求回應各種要求,或是回答相同產業中發生的各種入侵相關問題。

相反地,安全專業人員應定期與董事會進行會面,透過報告或教育的方式讓他們了解情況以建立相互之間的信任關係。與董事會成員進行合作的最終目的就是為了要建立一個理想的安全狀況,這是我們所有人的共同目標。

身為第四道防線的董事會角色

有時候我們都只會把董事會當作是安全主管們必須進行報告的對象,但事實上這些管理階層可以扮演更重要的角色。

具體而言,我們可以把董事會成員看作是企業安全性的第四道防線。首先,第一道防線就是實際負責將事件分類的第一線從業人員所管理的日常安全作業和功能。第二道防線就是我們所謂的網路監管功能,第三道防線則是內部稽核和報告功能。最後才是由董事會所職掌的第四道防線。最重要的是所有這四道防線都能相互進行有效率的溝通,以消除彼此之間的隔閡並建立更為嚴謹的網路安全作業。

如何主動與董事會建立信任關係

若要讓董事會成為安全部門的合作夥伴以及有效的第四道防線,則雙方都必須能夠彼此信任。對於安全專業人員來說,若要建立互信,他們必須了解董事會最為重視的以下三項要素:

品牌維護。. 確保企業品牌在智慧財產、商業機密和企業聲譽方面都能受到保護。 確認已實施適當的安全控制以確保公司穩定獲利。

風險管理.了解要向董事會報告哪些內容,使他們能意識到網路安全威脅對於公司業務造成的衝擊。

提出安全投資報酬率 (ROSI) 的前景

在與董事會進行溝通時,務必確認每個人都使用同一套表達方式。董事會成員通常都不是網路安全專家,當然這並不是什麼秘密。因此 CISO 通常很難確定要使用哪種技術語言層級,有時候甚至會逃避談論某些技術資訊,因為他們真的不知道該如何與非專業人士進行溝通。

我經常看到某些 CISO 雖然相當專精於技術層面,但卻無法以董事會理解的商業觀點來進行有效的溝通。與董事會進行溝通的致勝關鍵就是經常與聽眾們保持互動並更有效率地與他們溝通,而不是讓他們擔驚受怕。

在 Unit 42 中,我們會使用一種稱為 ROSI 的詞彙來進行與安全投資報酬率有關的討論。CISO 必須能夠從收益觀點來明確闡述為何某些安全投資對於 ROSI 來說如此重要