在董事会转型网络安全
董事会希望您了解的六件事
与董事会的网络安全对话已发生演变。安全团队不再仅被视为技术专家,而是被视为业务韧性架构师,帮助企业抵御网络威胁。这种转变的推动因素包括:日益增多的网络攻击、地缘政治,以及数字化转型。
董事会如今希望听取安全领导者的战略见解。他们不仅仅只是想听报告,指出已安装了最新的防火墙或遵守法规要求。他们寻求了解网络策略如何提升业务战略和股东价值。对话是关键。董事会希望安全团队能够以通俗易懂且与业务战略和目标相关的方式来阐述网络安全专业术语。
那么,董事会希望您了解哪些内容?他们的优先事项是什么?他们对安全团队有何期待?在本文中,我们将探讨董事会的网络安全优先事项,以及安全领导者如何与董事们进行有效的沟通。
1. 网络风险就是业务风险。
过去,董事会将网络安全视为远在服务器机房中的技术团队的工作职责。网络风险似乎既抽象又无形。如今,情况已大不相同。Equifax 和 Colonial Pipeline 等特大数据泄露事件产生的影响就是示例。这些攻击彻底摧毁了企业的核心服务,造成了巨大的业务影响,迫使企业将网络风险重新定义为一种明确且现实的危险。
新的 SEC 安全风险披露规则更加坚决地打击这种威胁。通过强制要求企业快速公开报告重大网络事件并每年披露网络安全计划,SEC 将网络风险置于前列和中心的重要位置。SEC 主席 Gary Gensler 表示:“无论是一家公司因火灾而损失了工厂火灾,还是因安全事件泄露了数百万份文件,都可能对投资者产生重大影响。”如今,董事会必须密切参与评估网络安全事件、规划信息披露以及批准安全计划。
虽然董事会了解网络风险的严重性,但他们往往无法流利掌握威胁、传播媒介和控制措施等深奥术语。这种术语差距带来了战略性沟通方面的挑战。董事会需要清晰的见解,将网络风险与业务成果联系起来,并需要明确的计划来管控这些风险。
作为安全领导者,我们应该像翻译一样成为沟通的桥梁,使用通俗易懂的商业术语(而不是技术术语)为董事会解释说明。我们必须在客户信任、服务韧性和市场地位等业务优先事项的背景下分析各种威胁。
SEC 出台的新规确认,网络风险与商业风险始终紧密相联。我们的报告应该反映这一新现实。董事会高度关注网络安全问题,我们必须为网络安全工作提供清晰的战略方向。
2. 网络安全 ROI:不仅关乎金钱,更关乎理性
啊,证明网络安全投资回报率 (ROI) 的难题来了。董事会比以往任何时候都更关注安全投资,但他们并没有期望获得直接的 ROI。相反,他们想要了解安全投资与更安全、更稳健的企业架构之间的关联。
让我们来看一个有趣的练习:在准备下一次董事会会议时,不要只汇报数字,还要叙述影响力、讲述故事。不,不是神话故事,而是真实的示例,说明您的团队如何迅速采取行动,避免了一场网络灾难。您是否已将 VPN 替换为 Zero Trust 网络访问并部署了全新的 XDR 系统?太棒啦。这些做法如何影响了安全团队保护用户和缩短事件响应时间的能力?您仍然应该提供具体数字,但务必通过这些数字来讲述故事。
当然,并非所有成功都能轻松量化。但即使是提升声誉这样的无形好处,我们也可以用替代指标来估算其价值。关键是将项目和支出与风险缓解措施关联,后者体现了公司的运行状况和绩效。
这种框架将网络安全从成本中心转变为构建业务韧性的战略职能部门。明智的投资展示了网络安全可以为企业带来的竞争优势,从而通过采取智能化的风险防御策略来促进创新和增长。董事会真正关心的,是从更宏观的角度审视安全 ROI。
3. AI 的两面性:奇迹与雷区
如果我们要剖析现代网络安全的模糊领域,人工智能就是显而易见却常被忽视的问题。当我们将生成式 AI 融入网络安全战略时,董事会正端坐着开会,做着笔记,当然,也有些惊讶。
为什么他们对 AI 感到坐立不安?以 AI 聊天机器人为例,它在客户服务自动化方面表现出色,但如果它们成为虚假信息或数据泄露的渠道,会发生什么呢?董事会希望确保在采用 AI 的过程中,适当的治理、可解释性和故障安全措施已准备就绪。
面部识别、人工智能 (AI) 著作权归属,以及深度伪造技术引发了复杂的、令人担忧的伦理问题,这些并不是流媒体连续剧中的反乌托邦主题。它们不仅真实存在,而且正在发生。更进一步说,公司董事会不仅只是被动的观察者。他们也是利用 AI 的网络威胁的潜在攻击目标。那么,我们究竟应该如何保护他们,避免 AI 成为另一种攻击手段?董事会不仅仅是在“讨论”AI,他们也还在质疑和探索;网络安全团队备受瞩目,亟需提供一些清晰的解决方案。
4. 安全是一种文化,而非一个部门
董事会会议室里,关于安全的讨论正在发生变化。董事会越来越将其视为一种文化,而非一个部门。这就像是“保护安全,人人有责”的箴言,但已被提升到战略层面。
虽然纵观过去,人为错误一直都是安全的致命弱点,但反过来说,人为因素可以转化为优势。员工培训不仅仅是合规必备要求;也可能是战略工具。
想象一下:一名训练有素的员工挫败了一场可能会造成数百万美元损失的网络钓鱼攻击企图。大家肯定希望听到这样的故事,对吧?人为因素不是漏洞,而应被视为一项特色。如果员工不小心点击了恶意链接,请不要继续责怪他们。相反,应该让员工积极参与并投入网络安全工作,在公司内部营造一种“无过错”文化。为员工提供网络保护措施,让他们能够安全工作,并且更愿意报告其发现的可疑情况。另外,请勿忘记将董事会纳入安全文化。理想情况下,安全文化应该从董事会层层向下渗透,并落实到日常行动中。
5. 全球一盘棋:为什么地缘政治风险也是企业风险
回想一下 SolarWinds 数据泄露事件。诚然,我们已将其归类为网络安全事件,但它本质上不就是一场不断扩大的地缘政治传奇故事中的一个章节吗?董事会敏锐地意识到,网络安全竞争环境远远超出了本组织的边界。如今,它已成为错综复杂的全球格局的组成部分。
地缘政治动态形势已被正式纳入了网络安全对话,并且带来了一些复杂的附加问题:民族国家威胁、黑客活动家、数据主权、隐私,以及国际合规问题。请记住,我们已不再将这些问题视为别人的难题;它们现在也成了您面临的难题。如果您在一个被视为“关键基础设施”的行业工作,这一点就更加明显。这说明您的职责范围是什么?这说明您与董事会观点一致。在下一次董事会会议上,请介绍一些关于不断变化的地缘政治形势可能会对企业网络安全战略造成哪些影响的宝贵见解。他们肯定会认真听取您的建议。
6. 安全团队是一个业务部门,而不是成本中心
网络安全传统意义上被视为成本中心,而如今它已发展成为战略决策做出贡献的业务部门。这种认知转变是近年来安全团队最重大的范式转变。董事会深知这一点,也希望您充分意识到这一点。
那么,这对您与董事会的对话来说意味着什么?对话不仅仅只是展示最新的入侵检测统计数据或防火墙的效果,相反,您应该向董事会描绘这样一幅图景:网络安全是稳定企业这艘航船的龙骨,让它能够乘风破浪(即:迎接市场机遇和业务创新),而不会倾覆。
哪些因素阻止您成为将安全注意事项无缝融入业务模式 DNA 中的战略专家?没有别的因素,或许只是旧有习惯和过时观念。考虑将此作为召唤。下一次董事会会议不应只是汇报最新进展,而应提出新的见解。做好准备从守护者转变为引导者,从守门员转变为探路者,迎接新的挑战!
董事会对话的新时代
是否已准备就绪?是否愿意从“阻挠部门”,转变为帮助公司宣布战略“同意”回答的支持者?
引用 William Gibson 的一句名言:“未来已来,只是分布不均。”是时候从董事会开始,在组织内更广泛地扩展网络安全知识啦。所以,下次听到“董事会”这个词时,不要把它当成一场观赏性体育比赛,而是把它看作一次邀请,请您作为一名战略参与者,参与塑造企业的未来。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
作者
John Engates - @jengates
Cloudflare 现场首席技术官
关键要点
阅读本文后,您将能够了解:
安全范式转变,从单个部门变为全公司范围文化
如何提升董事会安全对话水平
创造影响力,而不只是关注量化指标