恐吓战术很快就过时了。“我不会这样跟董事会成员说话。这有点太胆小了,”页岩内陆公司的博伊德说。“是的,威胁无处不在,任何一家公司被入侵的可能性都非常高。但也许有些东西你根本不在乎去保护。更重要的是了解公司的风险概况。最重要的资产在哪里?我们将采取什么措施来保护它们?”
在环球气象航空公司(Universal Weather and Aviation),特平不得不向董事会透露,公司的网络安全需要一段时间才能恢复正常。“他们会想,‘要在一半的时间内完成它需要什么?’”他说。他告诉他们,如果没有仙尘,这是不可能的。他表示:“即使我们投入了大量资金,我们也必须对基础设施和业务流程做出改变,还需要进行大量的员工培训,其中一些非常具有挑战性,需要时间。”“我告诉他们,在我们进行的过程中,如果有机会加快行动,我会让他们知道。当我走出会场时,他们全力支持我。”
超越头条新闻
虽然媒体对高调入侵的广泛报道,促使董事会成员比以往任何时候都更关心IT风险,但每天都有此类头条新闻,可能会引发恐慌。博伊德说:“你可能会认为这有帮助,但它也有阻碍。“这甚至会让董事会失去敏感性,因为他们知道媒体有时会过度炒作。他们需要一个公平、平衡的视角来看待现实。”
有些新闻是有价值的。“当(违反)发生在你的行业或达到某个阈值,允许您加强消息,你在做什么是好还是可以请求尚未批准,这可能是一个好的使用当日的新闻,”卡尔Slemp说,董事总经理、安全与隐私在Protiviti的练习。“但我们不建议(此类新闻)源源不断。”
安吉洛还担心过分夸大可怕的标题。他说:“如果你要谈论Anthem、家得宝(Home Depot)或塔吉特(Target),你最好确保它们是相关的。”“我不会在我的演讲中提到这些东西。每个人都可以自己阅读它,这是我们在董事会之前的首要原因。”
特平查阅了有关安全事件的各种报告,发现了他所在行业之外的一次攻击,说明了环球气象航空公司(Universal Weather and Aviation)内部面临的一个问题。他说:“我发现了一个例子,它清楚地展示了一些可能发生在我们身上的事情,以及如果它发生了会产生什么影响。”“这是最坏情况的最好例子。(董事会)很清楚,这将给公司带来多大的破坏。”当重大漏洞暴露时——Shellshock漏洞或Heartbleed漏洞——Turpin会向全公司发送一条信息,让所有人知道他的办公室已经意识到了这个问题,并制定了相应的解决方案。
保持董事会在董事会上
如果大型银行和政府机构都能被黑客入侵,普通企业如何保护自己?这是IT服务公司Prescient Solutions的首席信息官Jerry Irvine提出的问题国家网络安全伙伴关系,得到很多。他说:“每个人都想披上那件神奇的斗篷,保护自己不受世界其他地区的影响。”
欧文没有魔法斗篷,但他提出了更好的建议。他表示:“给(董事会)一些接触、阅读和理解的东西,以表明你正在取得进展,完成工作。”“董事会想要的是能够掌握最新动态的指标。”Irvine说,一些关键指标包括已知和认证的设备和软件的清单、漏洞扫描和业务连续性措施,“这在发生安全漏洞或事件时是必要的”。
首席信息官和首席信息官可以与董事会成员合作,找出最有用的信息。欧文表示:“在董事会推进这一领域的过程中,我们认为最有效的工作是与组织内的高管合作,了解哪些是重要的,并就网络安全治理进行一系列沟通和衡量标准。”
关于多久与董事会就IT风险进行沟通并没有规定。“你不想过度警惕。但话又说回来,你也不想把前景描绘得太美好。“目标应该是创造有意义的、一致的报告,建立可信度,描绘诚实而准确的画面。”
董事会不需要每天甚至每周更新,但他们需要看到大局。“董事会应该专注于风险管理,而不是具体操作,”特平说。“他们需要获得足够的信息来支持战略。”
大多数首席信息官和首席信息官每个季度都会直接与董事会讨论网络安全问题。
“必须是频繁的沟通。不可能一年一次。这并不能告诉我们正在发生什么,以及我们所处的位置有多好。他每年与该委员会会面五次,并在每月的高管团队会议上提供一份网络安全报告。他解释说:“事情变化如此之大,必须是频繁的。”“根据这份报告,我们可以选择哪些内容应该提交给董事会。”Scholten还与Principal的审计委员会进行持续的互动,他每年都与该委员会“深入研究”IT风险。