CISO 和董事会报告：一个持续存在的问题

CISO 要想获得董事会的支持，他们必须首先将技术含量较高的网络安全问题和解决方案翻译并报告为技术含量较低的业务人员可以理解的语言。该报告的质量与董事会的支持程度以及企业网络安全的后续实施直接成正比。

风险管理公司 CyberSaint 与高级网络安全中心 (ACSC) 的 CISO 成员讨论了这个问题。目的是揭示大型企业风险报告的挑战、机遇和有效性。

CISO 面临的主要挑战有三个：相关问题的技术复杂性，使得非技术业务人员难以理解；缺乏任何标准的报告指标，使得很难比较组织内各业务部门和其他组织中的行业同行的绩效；以及报告的时间、专业知识和成本，导致许多 CISO 求助于简单的电子表格。

企业领导者寻求理解的三个主要优先事项是战略风险的管理；组织与合规要求的一致性；以及网络安全购买如何影响首要威胁（例如勒索软件）。

大多数 CISO 认为他们的董事会希望更好地报告这些和其他主题，并且 CISO（近 60%）正在努力改进他们的方法。但董事会仍然抱怨他们收到“管理团队提供的过于技术性的报告，未能将治理纳入业务和财务方面”。

与 CISO 的讨论中得出了六种“最佳实践”：

裁缝向观众做报告。报告称：“董事会和执行领导层通常需要高层次的概述和关键绩效指标，而不需要深入研究技术细节。”

关注业务成果。报告应重点关注业务成果，例如收入、声誉和客户信任。这应该将不采取任何行动的结果与采取具体对策的结果进行比较。

提供可操作的信息。这与之前的建议有关。报告称：“可行的指导应包括当前控制措施的有效性、新出现的风险以及网络威胁的潜在影响（以美元计）。” 即潜在投资与潜在损失。

使用标准化报告框架。标准格式有助于部门和利益相关者之间的一致性和可比性，并减少准备报告所需的时间和精力。

包括风险情景。潜在威胁及其潜在影响的“假设”说明有助于商人了解特定缓解措施投资的相对需求。

规律性。应定期进行报告，以确保董事会和执行领导层获得有关组织安全状况的准确、及时的信息。值得注意的是，近 80% 的 CISO 表示，他们自己的报告频率在过去三到五年中有所增加。

CyberSaint联合创始人兼首席产品官 Padraic O'Reilly 对该报告主要内容的看法。“情况正在慢慢改善，但从历史上看，网络安全与董事会之间一直存在脱节。CISO 仍然依赖于技术。他们无法帮助自己——这就是他们生活的世界。就他们而言，董事会无法将这些技术术语转化为他们所生活的财务损益世界。”

现在的变化是，双方都被迫承认他们都面临着网络安全的“困境”。上市公司必须在四个工作日内披露重大网络安全事件，并进一步要求提交有关董事会对网络安全风险监督情况的年度报告。从安全角度来看，Uber 时任 CISO Joe Sullivan因“误导”董事会而被起诉，这表明 CISO 也对其行为负有法律责任。预计这种个人法律责任在未来几年只会增加。

问题依然存在，首席信息安全官和董事会如何弥合长期存在的脱节——准确而有意义的报告是一个主要因素。O'Reilly 表示，解决方案的一部分是 CISO 当前推动尽可能多的自动化。“这是网络领域可耻的秘密之一，数据往往太旧，在风险评估层面没有任何实际价值。” 每天对配置检查等领域进行自动化意味着 CISO 始终可以报告最新数据。

这种方法可以通过开发或购买仪表板系统来扩展。理想情况下，关键点应显示在上层，并且能够随时随地根据需要深入到更大的粒度。 

它将有助于六种“最佳实践”中的三项：它为所有报告提供了标准化的报告框架；它允许更频繁和定期的最新报告。“假设”场景也可以是仪表板方法的一部分。

但这仍然只是报告问题的一部分。它提供有关公司当前安全状况的数据，但不会自动帮助规划未来针对新出现威胁的解决方案。

显然，CISO 可以做很多事情来提高董事会报告的质量，但同样明显的是，这仍然是一个严重的问题。