在董事會進行網路安全轉型
BOD 希望您瞭解的六件事
與董事會進行的網路安全對話已經發生了演變。安全團隊不再僅僅被視為技術專家,現在他們被視為建立企業韌性以應對網路威脅的設計師。這一轉變是由日益增多的網路攻擊、地緣政治以及數位轉型所推動的。
如今,董事會希望安全領導者提供策略性見解。他們不再只想聽我們報告說已安裝了最新的防火牆或符合規範要求。他們想要瞭解網路戰術如何影響商業策略和股東價值。對話是關鍵。董事會希望安全團隊能夠將網路術語與商業敏銳度結合。
那麼,您的董事會希望您了解什麼?他們的優先事項是什麼?他們對您的團隊有什麼期望?在本文中,我們將探討董事會在網路安全方面的優先事項,以及安全領導者如何與他們進行有效溝通。
1. 網路風險就是業務風險。
過去,董事會將網路安全視為遠端伺服器機房技術團隊的職責範圍。網路風險看起來是抽象且無形的。但這一切已經改變。看看 Equifax 和 Colonial Pipeline 等大型資料外洩事件的餘震就知道了。這些攻擊重創了企業的核心,造成了極大的商業影響,重新定義了網路風險,使其成為一個明確且即時的威脅。
SEC 新的安全風險披露規則進一步加強了對這一威脅的關注。透過要求企業快速公開報告重大網路事件以及每年披露網路安全計畫,將網路風險放在了首要位置。「無論是一家公司因火災損失了一家工廠,還是因某次事件導致數百萬份文件洩漏,這些都可能對投資者具有重大影響,」SEC 主席 Gary Gensler 表示。董事會現在必須密切參與評估網路事件、規劃披露內容和驗證安全計畫。
雖然董事會瞭解解網路風險的嚴重性,但他們往往對威脅、攻擊手段及控制措施等專業術語不夠熟悉。這種溝通落差帶來了策略性溝通挑戰。董事會需要清晰且簡明的見解,將網路風險與業務成果聯繫起來,同時也需要明確的計畫來有效應對這些風險。
作為安全領導者,我們應該扮演翻譯者的角色,用簡單的商業語言而非技術術語來與董事會進行溝通。我們必須將威脅與業務優先事項中的內容聯繫起來,例如客戶信任、服務韌性和市場地位。
SEC 的新規則表明,網路風險已永久性地與業務風險交織在一起。我們的報告應該反映這一新的現實。在董事會高度警戒的背景下,我們的任務必須是照亮前方的道路。
2. 網路安全的 ROI:不僅關乎金錢,還關乎意義
證明網路安全投資報酬率 (ROI) 從來都是一個難題。董事會比以往任何時候都更深入地參與安全投資,但他們並不期望看到金錢上的 ROI,而是想知道安全投資如何與更安全、更強大的企業架構相關聯。
這是一個有趣的練習:在準備下一次董事會會議時,不要只報告數字,而要講述影響,講一個故事。當然,不是童話故事——而是真實的範例,說明您的團隊如何迅速採取行動避免了一場網路災難。您已經用 Zero Trust 網路存取取代了 VPN,並部署了一個嶄新的 XDR 系統?太棒了。這些對您保護使用者並縮短事件回應時間的能力有何影響?您仍然需要提供數字,但要確保這些數字能夠講述一個有說服力的故事。
當然,並非每一次成功都可以輕鬆量化。像提升聲譽這樣無形的效益,我們也可以透過代理指標來估算其價值。關鍵是將計畫和支出,與能反映企業健康狀況和效能的風險緩解聯繫起來。
這種框架將網路安全從一個成本中心轉變為一種能夠建立企業韌性的戰略性職能。明智的投資展現了安全如何作為競爭護盾,讓企業能夠在可控風險下追求成長。這種更宏觀的視角正是董事會所關注的真實 ROI。
3. AI 的雙面性:既是奇蹟,也是雷區
如果我們正在深入探討現代網路安全性這片模糊不清的領域,那麼人工智慧無疑是眾所矚目的焦點。當我們將 GenAI 融入到我們的網路安全策略之中時,董事會正全神貫注、做著筆記,而且,的確感到吃驚不已。
為什麼他們對 AI 感到不安?讓我們以 AI 聊天機器人為例,它在客戶服務自動化方面非常出色,但當它們成為虛假資訊或資料外洩的管道時,會發生什麼呢?董事會希望確保在採用 AI 時能夠實施適當的治理、可解釋性和故障保護措施。
圍繞著人臉辨識、AI 著作權以及一系列深度偽造問題所形成的倫理困境,並非只是串流影集的反烏托邦主題。這些問題是真實存在的,而且正在發生。更添複雜的是,我們的董事會並非只是被動的旁觀者。他們可能成為 AI 驅動的網路威脅的目標。那麼,我們究竟該如何保護他們,使其不至於成為另一個攻擊媒介呢?董事會並不僅僅是在「討論」AI;他們提出疑問、深入探究,並將所有的目光聚焦在網路安全團隊身上,期待他們提供一些亟需的答案。
4. 安全性是一種文化,而不是一個部門
在董事會中,有關安全性的說法正在發生變化。董事會越來越將其視為一種文化,而不是一個部門。這是「安全性人人有責」這句口號的提升版,已經上升到了戰略層面。
雖然在過去,人為失誤一直是安全性的致命弱點——但扭轉局面也可以將人力因素轉化為一種資產。員工訓練不應僅僅是為了達到合規要求的例行公事;它可以成為一種戰略武器。
想像一下:一位訓練有素的員工成功挫敗了一次可能導致數百萬美元損失的網路釣魚攻擊。這樣的故事,他們肯定樂於聽到,對吧?人力因素並非漏洞——而是一項優勢。當使用者不小心點擊惡意連結時,別再一味指責他們。相反,要讓員工參與到網路安全工作中來並為此投入心力,同時在公司內部營造一種無責罰的文化。為使用者提供網路保護,讓他們能夠安全地工作,並且更願意報告他們發現的可疑內容。別忘了將董事會也納入企業的安全文化。理想情況下,安全文化應從董事會向下滲透,並在日常工作中從普通員工的身上體現出來。
5. 棋盤是全球化的:為什麼地緣政治風險也是您的風險
回想一下 SolarWinds 事件。當然,我們將其歸類為網路安全事件,但它本質上不也是地緣政治大劇中的一集嗎?董事會非常清楚,網路安全的戰場早已不僅限於組織範圍內,如今這已是全球格局中錯綜複雜的一環。
地緣政治動態已正式參與到網路安全的討論中,並且帶來了一些複雜的附加因素:民族國家威脅、駭客活動、資料主權、隱私權和國際合規性問題。記住,我們已經不再能將這些議題視為「別人的麻煩」;它們現在也是您的責任。如果您在所謂的「關鍵基礎架構」產業工作,這一點尤為明顯。
這對您的職責範圍有什麼影響?這表明您已經與董事會站在了同一陣線。在下一次董事會層級的會議中,提出一些見解,談談地緣政治格局的變化將如何影響您的網路安全策略。他們一定會對此充滿興趣。
6. 您的團隊是一個業務單位,而不是成本中心
網路安全傳統上被視為成本中心,現已發展成為有助於策略決策的業務部門。這種觀念的改變是近年來安全團隊最重大的典範轉移。您的董事會深知這一點,也希望您能認識到這一變化。
那麼,這對您與他們的對話有何影響?這意味著,當您與董事會進行對話時,不應再只是陳述最新的入侵偵測資料或防火牆效能。相反,您應該向他們描繪這樣一幅畫面:網路安全是穩定企業之船的龍骨,讓船隻能夠在更強的風力和更高的海浪中(也就是市場機會和商業創新)穩定前行,而不至於傾覆。
是什麼阻止您成為能夠將安全性考量無縫融入商業模式 DNA 的策略性專家?沒有什麼能真正阻礙您,除了可能存在的舊習慣和過時的觀念。把這當作您的號角聲。下次董事會會議不應該只是更新最新資訊,而應該是一次啟示。舞台已經搭建好,讓您能夠從一名守護者轉變為引導者,從一名門衛轉變為開路先鋒。準備好轉型吧!
董事會對話的新時代
我們準備好了嗎?我們是否願意從「只會說不的部門」轉型成為推動企業戰略的「關鍵推手」?
引用 William Gibson 的一句話:「未來已經到來,只是分佈不均。」我們應該從董事會開始,將網路安全智慧擴展到組織內部更廣泛的領域。下次當您聽到「董事會」這個詞時,不要將其視為一種觀賞性運動,而應將其視為一種邀請,邀請您成為塑造企業未來的策略參與者。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
作者
John Engates — @jengates
Cloudflare 現場技術長
重點
閱讀本文後,您將能夠瞭解:
安全性從作為一個部門到成為全公司文化的範式轉變
如何在董事會中提升安全話題的層級
交付實際影響力比數據更為重要