“董事会首先需要教育,让他们在关键问题上跟上速度:他们应该使用什么词汇,他们需要在哪里花钱,他们什么时候需要购买保险,”全国发展委员会的格里森说。“他们需要铺天盖地的报道,因为这不是他们每天都能处理的事情。”
2011年,盖茨律师事务所(K&L Gates)董事长兼执行合伙人彼得•卡利斯(Peter Kalis)曾担心,该律所可能是其客户网络安全框架中最薄弱的一环。该律所掌握着数千家公司的企业机密。“他得出的结论是,我们和其他任何人一样,都是一个大目标,”安吉洛说。凯利斯聘用安吉洛是因为他的IT安全技能。
当他第一次站在管理委员会面前时,Angelo给出了他对风险的高级定义:为了拥有风险,你不仅需要有一个漏洞,还需要有一个与这个漏洞相对应的威胁。“作为一个组织,你每天都要管理成千上万的漏洞。但他们是被动的,”安吉洛说。“一个弱点就像一块炸药。你可以考虑一下。你可以扔它。但没有灯芯,没有人来点燃它,它是不会爆炸的。我希望他们关注真正的威胁是什么。”
安吉洛在情报部门的背景就派上用场了。他开始思考哪些人可能会对律所获得的数据感兴趣,他们可能会如何设法获得这些数据,以及如何最好地防止他们试图闯入。“这是一个更简单的方案。这样你就知道该把钱花在哪里了,”安吉洛说。“这就是秘方。”
为了保持对潜在威胁的领先地位,Angelo对不断变化的安全格局进行了稳定的第三方研究。他说:“过去很难获得这类信息,但现在越来越容易获得了。”
风险业务
“网络安全不是一个IT问题。这是一个商业问题,”Lloyd Boyd说,他是一家管道、阀门和配件的工业供应商,Shale-Inland Holdings的首席信息官。“在我们的业务中,我们不处理消费者数据或健康信息,但我们知道,攻击可能会影响业务运营。我的董事会想知道风险是什么,以及我们如何管理它。”
虽然董事会近年来已经意识到网络安全的重要性,但董事们并不像博伊德那样每天都要处理网络安全问题。“他们不知道他们需要知道什么,”Boyd说。“对于我们这些首席信息官来说,在实际工作中有效地沟通这些问题非常重要。我们总有一天会成为受害者,我们需要做好准备。”
罗伯特·希尔
劳埃德·博伊德他说,首席信息官们必须与董事会就实际的安全问题进行沟通。“在某个时刻,我们会成为受害者,我们需要做好准备。”
为了获得董事会的支持,做出必要的准备,博伊德应用了奥地利经济学家和哲学家路德维希·冯·米塞斯为促进改变而开发的“人类行为模型”:对当前的情况制造不安,提供一个更好的方法的清晰愿景,并创造一个安全的前进道路。他表示:“要想让董事会感兴趣,你必须弄清楚他们为什么应该感兴趣。”
特平说:“安全应该是保护你目前赚取和保持收入的能力,并降低未来新业务的风险。”“很多时候,它被视为it的一个子集,但实际上它是关于业务风险管理的。”
格里森表示同意。他说,网络安全“必须被董事会视为公司必须解决的企业风险结构的一部分。”
在信安金融集团(Principal Financial Group),董事会知道会发生意外。“底线是,他们想知道我们是否在采取谨慎的步骤来管理风险,”Scholten说。纵深防御的方法有效吗?监测被证明有效吗?公司是否有能力应对突发事件?Scholten不仅提供了IT部门自己对校长网络安全状况的评估;他还让第三方来评估安全状况。
认清网络安全
大多数董事会成员很有可能都听过这样的陈词滥调:有两种公司:一种是已经被攻破的公司,另一种是还不知道自己被攻破的公司。“这会把他们吓得屁滚尿流,”格里森说。“但他们会挠头想,‘好吧……我们有些保护吗?这是什么意思?'"