同样重要的是,因为Spolten的董事会更新是他进行的积极教育和意识计划。“我们对培训和保持新趋势的人真的很激进。董事会的问题随着结果而变得更好。”
理想情况下,您应该制度化一个流程,以便在审计委员会特别或整个董事会中提供关于威胁和企业风险评估的更新,说Boyd。
Glason表示,可以通过风险记分卡,热图,IT安全仪表板或一些其他格式呈现此类更新。“有各种各样的方式提供它,但目标是传达风险是全面的风险,自上次更新以来如何改变,”他解释道。
在不确定性中建立信任
由于Angelo在2011年向董事会提供了第一次网络安全展示,他与董事的互动已经发展。在早期的初期在媒体中有两个零点爆炸。“它产生了大量的问题。我的电子邮件会亮起,”他回忆起。他发现自己不得不安排与董事会成员和高管的会议讨论事件。“但那很好,”他解释道。“一旦我能够解释它对我们的建筑没有影响,问题就消失了。”
快进至今年二月的管理委员会会议和巨大的国歌违约,差异很清楚:他不再被最新的头条新闻缺席,最终与K&L盖茨的安全风险状况不大。委员会成员肯定意识到大违规行为,但他们相信Angelo在它之上,并没有中断与问题或疑虑的会议上的定期网络安全更新。“一年前,它将占据讨论,”Angelo说。但这一次,他说,“我能够坚持事实。”
尽管如此,CIO仍然是由于不断发展的威胁。“我总是亲近的一件事 - 他们可能厌倦了听到我说这个 - 是'东西可以改变一夜之间。'你可以睡觉得很安全,醒来醒来,这是一个我们很容易受到攻击的漏洞,“Angelo说。“坏人只有是正确的[曾经]。我们必须一直都是正确的。”委员会了解到,由于他与他们讨论安全战略的透明方式,成员对公司的安全姿势充满信心。
“仍然存在持续的威胁。无论是来自国家赞助的攻击还是有组织的犯罪,有很多简单的方法可以将数据货币化以使其成为有利可图的创业,”Boyd说。“与此同时,天空不会下降。我们每天都没有重大问题。威胁更为复杂,但我们的保护机制也是如此。”
Boyd说他与Shale-Inland Board的定期沟通使得这很清楚。“它很好地工作。这是一个成熟的方式,展示问题并使董事会成为指导我们想要做的伴侣,”他说。“每个人都想说,”只是相信我建立我们所需要的东西。“我们不能做到这一切,我们不能快得足够快。我们不想创造一个虚假的安全感。“
这个故事,“董事会在安全威胁上进行了高度警报”最初发表于CIO. 。