向董事会汇报网络安全工作的12条建议

收集安详是董事会最体谅的题目之一。现实上，在全美企业董事协会(National Association of Corporate Directors)观测的近500名企业率领中，有42%的人将收集安详风险列为他们面对的五大最紧要题目之一，仅次于禁锢情形的变革和经济成长减速。

因此，安详打点职员频仍向董事会讲述他们面对的风险以及减微风险的计策。然而，许多董事会成员发明，他们没有从首席信息安详官哪里得到所需的信息。

打点咨询公司麦肯锡(McKinsey & Co.)高级合资人David Chinn暗示：

首席信息安详官在向董事会通报收集安详风险时，应该遵循一些最优做法并停止常见错误。

1. 充实做好筹备事变

高官们应该在举办讲述前几周，将筹备好的书面陈诉上交给董事会成员。一些人以为提前做好筹备事变就足够了，但有履历的高管和率领参谋暗示，首席信息安详官们(出格是是那些在董事会开始之前时刻有限的人)必要更专注于筹备事变，乃至去接管特定的培训。

Hayslip在向新董事会举办第一次讲述之前，哀求他的首席财政官帮本身接洽一位乐意辅佐他筹备这次讲述的高管。他暗示：假如我要向董事会做陈诉，而我从来没有和他们攀谈过，我可不想走进酷寒的董事会。我不知道他们会问什么样的题目，我不知道他们想要相识什么。以是我和同事举办了雷同，扣问其他已经在董事碰眼前举办讲述并获得反馈的其他高官们——都有谁在哪里，他们是什么样人，他们会问什么样的题目——然后我就能知道我将要向谁举办陈诉，他们但愿奈何的数据泛起方法了。

2. 提供一份评估陈诉

Hayslip暗示筹备事变以及他其后向董事会举办陈诉的经验，让他大白了一些董事们想知道的内容，即对公司收集安详状况的一份评估以及必要怎样举办改造。

3. 保持透明性

专家暗示，评估陈诉不该该恍惚企业面对的风险，因此首席信息安详官应该提前，并以直接，易懂的方法提供相干信息。

Chinn暗示：许多组织机构都有一个威胁谍报部分，他们会为董事会网络这些信息，让董事会成员认为他们已经相知趣关信息了。董事会成员想知道企业风险、这种风险带来的贸易影响、他们的投资在多洪流平已经转化为节制，以及这些投资是否有用低落了风险。

他举了一个很好的例子，来声名怎样提供这样的信息：在一个组织机构中，首席信息安详官开拓了一个自助应用措施，董事会成员可以按照必要行使该应用措施会见相干信息。

4. 筹备应对(棘手的)题目

集会会议室可不是让人惊喜的处所。因此，IT管理协会ISACA的董事会主席Rob Clyde提议，首席信息安详官们应该猜测董事会成员也许提出的题目——尤其是那些最难答复的题目，好比 “我们的安详性有多好?” 和 “我们安详吗?”。

Clyde暗示，首席信息安详官们凡是很难适可而止地答复这种范例的题目，因此在慌忙答复间每每会给出不充实或令人狐疑的谜底。

他发首先席信息安详官们提前思量，并拟定应对法子。他还发首先席信息安详官行使收集安详成熟度模子，好比ISACA的CMMI研究所提供的模子，对这些棘手的题目给出清楚、故意义的答复。

同时，他暗示首席信息安详官不该该让董事会、其他高管和首席执行长对此类题目的答复感想不测。Clyse暗示，首席信息安详官应该与他们的首席执行官分享他们对这些题目的答复;究竟上，首席信息安详官应该确保首席执行官相识他们将要陈诉的任何内容，这样他们就不会将首席执行官置于任何忧伤的田地。

5. 厚道面临劣势

与此相干的是，履历富厚的高管们暗示，在答复有关组织风险和收集安详形势的题目时，首席信息安详官应该脚扎实地，纵然他们担忧本身的答复也许会让本身看起来服从低下。Clyde暗示：有些董事会问，“我们是100%安详的吗?”，你毫不该该给出必定的谜底，可能提供毫无按照的担保，给出恍惚的谜底。

6. 但也不要吓到董事会

首席信息安详官看到收集安详进攻的局限不绝增进，且日益伟大，因此他们在向董事会表明应对这些威胁所需的资源时，与董事会共享这些信息也就不敷为奇了。

他暗示，董事会虽然必要数据，但他们必要可以或许让他们做出明智的抉择的信息，以抉择把安详投资放在什么处所，最大限度地低落风险。

7. 得到一位支持者

James Carder，安详办理方案公司LogRhythm的首席信息安详官，统一名拥有技能配景的董事会成员成立了接洽，并找他作为导师，辅佐他筹备董事会集会会议、检察提交给董事会的原料，并代表他支持安详计策。

他提议其他首席信息安详官也这么做。

8. 开门见山

首席信息安详官们已经风俗了在集会会议上做陈诉，他们凡是在谈及主旨前，会举办一些铺垫，但这种要领不合用于那些珍惜时刻的董事会成员。

Clyde暗示，不要保存重点，要从一开始就说到点子上。董事会想提前知道你为什么在哪里。假如董事会必要采纳动作——譬喻，他们必要思量购置收集安详保险，可能拟定一项政策，抉择在产生打单病毒进攻时，是否付出赎金——那么起主要和董事会提前确认这些。

他暗示，首席信息安详官可以在时刻应承的环境下提供帮助信息，意识到董事会成员可以在集会会议条件交的书面原料中找到任何需要的信息。

9. 省略技能环节

Carder谈到，他曾经把本身的安详事变过多地通报给董事会。当董事会成员不得不多次打断他的告诉，扣问他行使的术语和他所描写的观念的时辰，他知道本身犯了一个错误。

Carder此刻更故意识的从他的讲述中省略伟大的技能内容;没有关于最新的裂痕或最新的数据丢失防止技能的具体信息，也没有SIEM供给商选项或入侵监测产物的信息。相反，他将对话重点放在环绕安详性的提炼概念上，并以简朴的营业术语展示相干信息。

10. 展示营业代价

许多首席信息安详官在计较安详投资的营业的投资回报率(ROI)时碰着了坚苦，可是董事会想知道的是他们的安详风险和投资对营业的影响。

这就是Hayslip的方针。他暗示：本身展示了项目怎样影响赚钱的团队，这就表白项目正在辅佐公司做该做的工作。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!