董事會一定會問的五類安全問題

如今的董事會所擁有的信息來源越來越多并且在質疑公司安全計劃的效果時準備得更加充分。為了在遠程團隊日益增長的網絡安全威脅環境中實現數字化目標，他們與安全和風險管理領導人的對話也變得更加復雜和細致。

因此，他們根本不可能會問一些基本的問題，比如我們有多安全？為什么我們去年剛剛批準了X，現在又需要在安全方面投入更多的資金？你說我們被“黑”了一百次是什么意思？相反，董事會將進行更加具體、精準的探詢。

安全和風險管理領導人往往難以回答董事會因媒體報道而提出的問題，這導致企業領導人和技術領導人之間信任的破裂。

因此，您所準備的回答應該將討論引向保證、合規和對安全實踐的支持。除了個別董事會成員感興趣和關注的事情之外，整個董事會關心以下三件事情：

●   收入/任務：運營或非運營收入以及增強非收入任務目標

●   成本：避免未來成本以及大幅減少運營費用

●   風險：金融、市場、監管合規和安全、創新、品牌以及聲譽

董事會所提出的問題可以分為以下五個類別：

事件類問題

問題內容：怎么會這樣？我以為你已經控制住局面了？什么地方出了問題？

提問原因：當一個事件或事情發生后并且董事會已經知道或者首席信息安全官（CISO）正在通知他們時，就會出現此類問題。這一點在目前尤為明顯，因為董事會可能會在大部分員工在家辦公的情況下問一些關于企業機構安全的具體問題。此類問題也可能出現在任何其他事件中，包括可能已經影響到整個企業機構的數據泄露。

如何回應：有些事件（無論哪種類型）是不可避免的，所以應接受事實。分享您所知道的以及您正在做的工作，挖掘您還不知道的事情。簡而言之，接受事件、提供關于業務影響的詳細信息、概述需要解決的弱點或差距并提供緩解計劃。

在董事會面前應注意不要只提供一個選項作為最終選擇。雖然安全領導人仍承擔安全和風險監督職責，但責任始終由董事會/高管界定。

權衡類問題

問題內容：我們100%安全嗎？你確定嗎？

提問原因：這樣的問題往往來自于那些沒有真正理解安全和業務影響的董事會成員。要做到100%的安全或保護是不可能的。您的職責是確定具有最高風險的領域并根據業務需求通過分配有限的資源來管理它們。

如何回應：一開始可以這樣說：“由于威脅環境在不斷演變，我們不可能消除所有信息風險來源。我的職責是采取控制措施來管理風險。隨著業務的增長，我們必須不斷重新評估合適的風險級別。我們的目標是建立一個可持續的計劃來平衡安全需求和業務經營需求。”

處境類問題

問題內容：外面的情況有多糟？在X公司發生的事情怎么樣了？與其他公司相比，我們的情況如何？

提問原因：董事會成員會通過威脅報告、文章、博客和監管壓力來了解風險。他們總是會問別人在做什么，尤其是同行企業機構，而且想知道自身的處境并與其他企業機構進行比較。

如何回應：避免猜測引起其他公司安全問題的根本原因，而是回答：“在獲得更多信息之前，我不想猜測X公司的事情。但在我了解到更多信息后，我將十分樂意與您分享。”可以考慮討論一系列更加廣泛的安全對策，例如確定類似的弱點以及如何更新業務連續性計劃等。

風險類問題

問題內容：我們知道我們面對的是哪些風險嗎？什么事情讓你夜不成寐？

提問原因：董事會知道接受風險是一種選擇（如果他們不知道，那么您就需要解決這一問題），但他們想知道公司風險是否得到了妥善的處理，所以您應該做好解釋企業機構風險容忍度的準備，以便為風險管理決策辯護。

如何回應：解釋風險管理決策對業務的影響并確保有證據支持您的觀點。第二個部分至關重要，因為董事會會根據風險容忍度來做出決策。任何高于容忍度閾值的風險都需要采取補救措施將其控制在安全范圍內，但這不一定需要在短時間內做出巨大的變化，所以應注意不要反應過度。

董事會希望您保證您正在充分管理重大風險并且在某些情況下應采取溫和的長期策略。請記住，董事會要對“整個企業”的風險負責，而網絡風險雖然很重要，但也只是其中的一小部分。您應該要求自己做到簡明扼要。缺乏控制不是風險，尚未出現的下一個巨大威脅也不是風險。專注于您能夠控制的高價項目上，例如知識產權損失、監管和第三方風險。

績效類問題

問題內容：我們是否合理分配了資源？我們的開支是否足夠？我們為什么要花這么多錢？

提問原因：董事會想要確認安全和風險管理領導人沒有在停滯不前并希望了解各項指標和投資回報率。

如何回應：可以使用平衡記分卡方法，這種方法運用的是一種簡單的交通信號燈機制。最上面的一層應表示業務愿望和企業機構在這些愿望方面的表現。盡可能從業務績效（而不是技術）的角度來解釋這些愿望，并且應該使用一系列通過一套客觀標準評估的安全衡量指標來支撐績效。