领导层网络专业知识受到审查

企业为何关注网络安全？一些主要驱动因素是数据保护、合规性、风险管理和确保业务连续性。这些都不是小问题。那么，为什么董事会成员在涉及网络问题时经常保持距离呢？

去年发布的一份报告显示，只有 5% 的 CISO 直接向首席执行官汇报。这实际上低于 2022 年的 8% 和 2021 年的 11%。但即使董事会成员不想太接近网络，网络仍然会影响到他们——至少根据 SEC 潜在的新规则是这样。安全领导者应该做什么？

网络知识差距

CyberEdBoard最近的一份报告称：“董事会成员没有能力理解技术。问题的另一方面是，首席信息安全官倾向于使用技术术语，而这恰恰超出了董事会的理解范围。我们必须找到让 CISO 与董事会进行有效沟通的方法。”

随着对技术的精通越来越多地进入商界高层，这可能是一个普遍现象。然而，当只有一小部分首席信息安全官向首席执行官汇报时，就会引发有关公司如何优先考虑安全问题的问题。

与此同时，联邦政府越来越担心网络攻击对关键基础设施和政府机构的影响。联邦政府正在采取行动强制遵守规定。

SEC 执法行动向前推进

2022 年，SEC执法部门网络和加密资产部门的规模几乎增加了一倍。此后，由于网络安全控制不足以及有关网络风险和事件的披露不充分，该部门已对 SEC 监管的实体启动了执法程序。

在过去的两年里，SEC 的执法导致了指控、罚款和和解。全球一些最大的金融实体不得不支付 425,000 美元至 3500 万美元的罚款。

接下来是上市公司法规吗？

现在，SEC 提议的第 10 条将明确要求所有上市公司在 8-K 表格上报告重大网络安全事件。第 10 条还要求定期披露注册人识别和管理网络安全风险的政策和程序、管理层在实施网络安全政策和程序中的作用以及董事会的网络安全专业知识（如果有）。

董事会应该加入网络

尽管一些董事会成员可能仍然不愿意正面解决安全问题，但教育是关键。应提供一些易于掌握的参数，例如数据泄露的全球平均成本高达 445 万美元。或者告诉他们 SEC 的 3500 万美元罚款。

安全领导者还应该收集有关网络给公司带来的现实风险和损害的数据。去年您发现了多少次攻击？有多少违规行为？预计成本是多少？需要采取哪些措施来最大程度地减少进一步的事件以及需要哪些投资？

这些都是简单的概念，任何有商业头脑的人都可以理解。有了此类信息，董事会成员就可以与任何监管机构进行明智的对话。

要求董事会成员成为网络专家是不合理的，但可以引导他们了解相关的业务风险和收益。此外，网络高管应该在最高管理层中占有一席之地，或者至少可以直接接触首席执行官。

提供他们理解的董事会术语

根据CyberEdBoard 首席信息安全官兼专家委员会顾问Marco Túlio Moraes 的说法，安全官员需要学会用财务术语说话。

例如，您能否用定量财务术语解释您的网络风险投资组合的总损失敞口？这可以帮助每个人掌握问题的大小来推动策略。例如，考虑到年可能性为 9%，平均损失为 4000 万美元，医疗保健行业的风险投资组合平均损失为 550 万美元。这是你们的董事会可以接受的吗？

一旦明确概述了这些数字，就可以根据预算、人员、时间和其他资源限制等限制来定义风险偏好和承受能力。在此基础上，可以就战略网络安全进行知情讨论，包括投资、责任和预期结果。