安全專業人員如何建立信任
建立與董事會的信任
對於許多擔任資訊安全長 (CISO) 職務的人來說,向董事會進行報告已經變成一項被動完成卻又非常必要的工作。畢竟每一位董事會成員都位居公司的最高管理階層,安全專業人員當然有責任向他們進行報告。不過,CISO 與董 事會之間的互動應該不只侷限於針對安全事件 例如 Log4j 弱點, 進行溝通、基於法規需求回應各種要求,或是回答相同產業中發生的各種入侵相關問題。
相反地,安全專業人員應定期與董事會進行會面,透過報告或教育的方式讓他們了解情況以建立相互之間的信任關係。與董事會成員進行合作的最終目的就是為了要建立一個理想的安全狀況,這是我們所有人的共同目標。
身為第四道防線的董事會角色
有時候我們都只會把董事會當作是安全主管們必須進行報告的對象,但事實上這些管理階層可以扮演更重要的角色。
具體而言,我們可以把董事會成員看作是企業安全性的第四道防線。首先,第一道防線就是實際負責將事件分類的第一線從業人員所管理的日常安全作業和功能。第二道防線就是我們所謂的網路監管功能,第三道防線則是內部稽核和報告功能。最後才是由董事會所職掌的第四道防線。最重要的是所有這四道防線都能相互進行有效率的溝通,以消除彼此之間的隔閡並建立更為嚴謹的網路安全作業。
如何主動與董事會建立信任關係
若要讓董事會成為安全部門的合作夥伴以及有效的第四道防線,則雙方都必須能夠彼此信任。對於安全專業人員來說,若要建立互信,他們必須了解董事會最為重視的以下三項要素:
品牌維護。. 確保企業品牌在智慧財產、商業機密和企業聲譽方面都能受到保護。 確認已實施適當的安全控制以確保公司穩定獲利。
風險管理.了解要向董事會報告哪些內容,使他們能意識到網路安全威脅對於公司業務造成的衝擊。
提出安全投資報酬率 (ROSI) 的前景
在與董事會進行溝通時,務必確認每個人都使用同一套表達方式。董事會成員通常都不是網路安全專家,當然這並不是什麼秘密。因此 CISO 通常很難確定要使用哪種技術語言層級,有時候甚至會逃避談論某些技術資訊,因為他們真的不知道該如何與非專業人士進行溝通。
我經常看到某些 CISO 雖然相當專精於技術層面,但卻無法以董事會理解的商業觀點來進行有效的溝通。與董事會進行溝通的致勝關鍵就是經常與聽眾們保持互動並更有效率地與他們溝通,而不是讓他們擔驚受怕。
在 Unit 42 中,我們會使用一種稱為 ROSI 的詞彙來進行與安全投資報酬率有關的討論。CISO 必須能夠從收益觀點來明確闡述為何某些安全投資對於 ROSI 來說如此重要,進而讓對方了解應保護哪些資產以及該如何保護。RO-SI 還應該從客觀角度來說明安全成熟度能為企業帶來哪些淨收益,以取代主觀的成熟度分析。
Unit 42 就風險問題與董事會進行溝通的架構
CISO 對於董事會的其中一項主要責任就是應主動向董事會進行與風險有關的溝通。 Palo Alto Networks Unit 42 已針對如何就風險問題與董事會進行溝通制定一套架構,其中包含下列關鍵步驟和項目:
目錄收集。. 若您不知道要保護的對象當然就無從保護起,因此請務必建立適當的 IT 資產目錄。
識別關鍵資產。. 探索並識別最重要的資產,無論是個別數據、應用程式或特定基礎結構。您必須了解居於業務核心地位的關鍵資產有哪些。
安全工具評估。.企業也必須了解如何使用既有的安全工具來保護這些關鍵資產。
事件回應功能評估。.若事件會影響企業的關鍵資產,則必須做好準備以最有效率和最具成效的方式回應。
測試和驗證。. 了解工具和事件回應功能。您必須測試及驗證這些功能在關鍵資產遭到威脅行動者攻擊時會如何反應。
董事會彈性簡報。.此架構的最後步驟就是與董事會溝通企業對於潛在風險的彈性程度。溝通的目的在於向董事會傳達客觀、可付諸行動的分析結果,而且溝通方式都必須與公司業務有所連結。
報告指標:當個領導者,不要成為落後者
我們經常看到企業報告大部分都偏重在像是攻擊、警示和已關閉事件數量等安全作業中心 (SOC) 指標或是未修補的作業系統數量以顯示目前的進度。但實際上這些指標都不足以呈現網路風險的現況。明確地來說,這些 SOC 指標應被視為落後指標,只能用來擬定被動的補救措施。
我們建議 CISO 應提供一些領先指標以制定. 主動的安全計劃 12 個月內評估的供應鏈風險管理資源等等,都是很好的主動領先指標範例。該指標不僅顯示了高風險供應鏈資源的數量,還能指出該公司目前在驗證這些第三方盡職調查的進度。
對於成功 CISO/ 董事會溝通的建議
建立與董事會之間的成功工作關係是一種過程,但最為首要的關鍵還是先建立關係。您必須對於董事會有所認識,並且了解他們在業務風險方面的迴響。您必須先了解他們的核心問題,才能與他們溝通該如何保護他們在業務資產和營運需求方面的最大利益。
您也可以透過數據導向的方式來與董事會進行溝通。去除主觀性能讓您處於一個較為有利的位置,因為您只是在闡述事實。不過,若只是在投影片上丟出一些數字也行不通。真正有用的是說故事的能力。董事會成員會比較想要聽到由引言、情節、高潮和結論等部分串起的完整故事。因此,不要只是提供數據,而是講述數據背後的故事。
最後,請記住董事會本身也是解決方案的一部分。他們就是所謂的第四道防線。因此,我們應積極促成及創造一個賦能的文化,讓企業各部門的領導者都能了解安全性的維護是每個人的責任。