国外：增强网络安全领导力，权力层有效参与的策略

随着对网络攻击的监管力度不断加强，越来越多的高管认识到这些攻击的本质——对企业运营、盈利能力和企业生存能力的严重威胁。但掌握权力的董事会呢？他们是否获得了所需的所有信息？他们是否了解组织的网络安全计划？他们明白为什么这些举措很重要吗？也许不会。

根据美国《哈佛商业评论》，只有 47% 的董事会成员定期与其 CISO 接触。网络安全现实与董事会意识之间似乎存在巨大脱节。在发生网络危机的情况下，您组织的董事会在制定客户/客户、公众和现在监管机构进一步要求的关键决策方面可能至关重要。

董事会参与的价值

IBM的《2023 年数据泄露成本报告》证明，网络攻击和数据泄露成本逐年增加。到 2023 年，数据泄露的成本较 2020 年增加了 15.3%。随着数字化转型的努力，许多组织的攻击面也在增加。

随着恢复成本飙升和需要保护的技术越来越多，董事会需要参与关键决策，并且应该了解采取了哪些类型的保护措施。董事会负责确保组织保持盈利并对利益相关者负责。信息不灵通的董事会可能会感到沮丧，并在网络危机发生时感到措手不及。最好尽早告知他们与安全相关的工作。

多年来，美国证券交易委员会 (SEC) 一直在考虑实施网络安全要求，这些要求由董事会承担，以确保合规性和所有权。最新提议的规则要求上市公司披露董事会成员是否具备适当的网络安全专业知识和足够的意识来应对组织内的网络危机。这一要求代表了组织越来越希望对数据安全拥有更多的所有权，并将网络危机活动对董事会和负责通知他们并为其提供关键危机响应能力的人员带来额外的攻击后果。

网络安全领导层如何与董事会建立牢固的关系

让董事会参与似乎是一项艰巨的任务，但组织可以采取一些步骤来确保董事会与网络安全目标保持一致。

第 1 步：教育董事会

请务必提供影响组织及其运营地点的最新法规的概述。那些不担任安全角色的人可能不知道违规通知时间表或披露阈值的复杂性。
确保董事会了解安全团队如何在组织内运作。确保他们了解用于增强响应的不同供应商。此外，让董事会成员熟悉应对计划（即使是在高层）也可以进一步提升网络安全领导层与董事会成员之间的联系。

第 2 步：与董事会成员建立共同语言

与您的董事会建立共同的安全语言。这意味着确保每个人都知道首字母缩略词代表什么（咳咳、CSIRP、CSERT 等 - 它们已成为安全专业人员的第二天性，但不是其他人）。此外，确定对一般安全术语和威胁的基本理解。最好在您的组织内有一个通用的定义。
定义什么是危机，什么不是危机。通过制定网络危机管理计划，您的组织将拥有基线资格标准和定义。我们以前已经见过很多次了，当团队在危机发生之前不能就这些问题达成一致时，就会导致大量问题。

第 3 步：争取支持

争取内部和外部资源来支持您的网络安全计划。动员组织的最高管理层在整个组织内培养深厚的安全文化。
向董事会提供高质量的威胁情报简报可以提供针对董事会成员关心的战略目标量身定制的意识和观点。IBM X-Force 威胁情报已准备好向您的董事会提供定制的威胁情报。X-Force 拥有丰富的知识，可以帮助您组织的董事会做好准备和理解。
在董事会内部寻求支持——包括董事会成员在内的一些人本质上是安全迷。让这些人更多地参与进来，他们将成为你的支持者。帮助他们了解更多。您的董事会甚至可能已经有一名网络安全专家。

第四步：与董事会有效沟通

向董事会提供每月或每季度的高级安全更新，重点介绍关键工作，包括产品实施、桌面或模拟结果以及任何其他重要的安全活动。
确保对话保持非技术性并提供关键指标。这些利益相关者不需要所有的细节，但了解角色、时间表以及何时需要参与对他们很有帮助。请记住，安全响应是一项整体业务工作，董事会是其中的一部分。
保持沟通渠道畅通，让董事会参与任何安全新闻通讯或内部宣传活动。

第五步：练习