董事会想从网络安全领导者那里听到什么，不想听到什么

点击上方“蓝色字体”，选择 “设为星标”

关键讯息，D1时间送达！

要成功与董事会成员沟通，网络安全负责人不仅需要学习业务语言，还要学会以董事会成员能够理解的方式解释网络安全风险。找到一个支持者或倡导者可以帮助CISO使自己的报告与董事会的要求保持一致，并建立更好的互动关系。网络安全负责人需要与董事会保持定期联系，以培养熟悉感和理解，如果没有这一点，不明确的情况可能会导致要么过度分享技术细节，要么没有提供足够的战略背景。董事会关注的是企业面临的风险、解决这些风险的策略、进度更新、成功的障碍，以及他们是否在处理正确的事情。

能否与董事会成功沟通可能不会决定CISO的职业生涯，但这一能力正变得越来越重要——尤其是当风险意识强的董事会寻求战略安全见解时。

挑战不仅仅在于呈现技术信息——而在于将网络安全与董事会的优先事项和业务目标结合起来。

然而，CISO们可能难以分辨董事会到底想听什么、不想听什么，但还是有方法可以解读他们的期望并与之有效互动的。

在董事会中找到盟友

找到一个支持者或倡导者可以帮助CISO使自己的报告与董事会的要求保持一致，并建立更好的互动关系。“找一个董事会冠军，帮助弄清董事会到底想听什么。”多米诺集团的CISO斯蒂芬·贝内特(Stephen Bennett)说。

CISO们可能会花费大量时间试图弄清楚董事会想要什么，并制作各种类型的报告，希望符合董事会的要求，但直接向源头了解会更容易。

贝内特与一位董事会成员合作，发现这有助于改进他的报告方式。这意味着要更多地提供战略性和高层次的见解，或解释那些没有具体网络安全知识的董事需要了解的技术信息。“令我惊讶的是，我们常用的一些术语，比如‘端点’‘防火墙’或‘NIST框架’，董事会都不太了解。”他告诉记者。

他意识到需要为董事会填补这一空白，并因此开发了一个术语表，以及一份解释与组织相关的合规框架和标准的白皮书，它提供了基础信息，并确保所有人都在使用一种通用语言。

“这些文件很少改变，因为成熟度评估中的合规要求和风险管理框架相对一致。”他说。

打好基础后，贝内特就能够利用定期报告更新企业是如何缓解风险的，并强化网络安全投资的价值。“我会解释我们目前所处的成熟度阶段、去年所做的工作、明年需要做的工作，以及所需的预算。”他说。

这段经历帮助他改变了方法，从提供更像是风险登记册的风险报告，转变为提供以业务语言表述的战略风险评估。向首席财务官(CFO)报告这条线的变更也帮助他拟定了面向业务的报告。

“只有当你向不参与技术工作的人员报告时，你才会意识到自己是在使用专业术语，或是没有贴近业务语言。”贝内特说。

解码董事会希望安全负责人做什么

网络安全负责人需要与董事会保持定期联系，以培养熟悉感和理解。如果没有这一点，不明确的情况可能会导致要么过度分享技术细节，要么没有提供足够的战略背景。

前CISO、现任董事会顾问、独立董事和导师保罗·康奈利(Paul Connelly)发现，许多CISO过于注重指标，而董事会则希望获得更多战略见解。董事会不需要知道你的钓鱼测试的结果，康奈利说。董事会关注的是企业面临的风险、解决这些风险的策略、进度更新、成功的障碍，以及他们是否在处理正确的事情。

“我指导CISO们研究他们的董事会——阅读他们的简历，了解他们的背景，了解董事会的信托责任，”他说。目标是了解董事会的构成和他们的优先事项，并将他们的指标纳入业务的风险和威胁分析。

利用这些信息，CISO们可以开发一个与业务相一致的项目故事。“那个高层次的故事——辅以指标测量——就是董事会想听到的，而不是一堆关于恶意邮件和关键补丁的指标，或像‘小鸡快跑’故事里那样吓人的威胁。”康奈利告诉记者。

然而，这不是单向互动，但许多CISO与缺乏相应技能和理解力以促进有关网络威胁的有意义讨论的董事会进行互动。“很少有公司的董事会中有真正的技术或网络安全专家。”康奈利说。

据2024年Diligent Institute的一份报告显示，只有5%的公司拥有网络安全专家进入董事会，这表明大多数董事会在网络安全监督方面存在困难。

尽管技术对创新和增长至关重要，而相关风险也是公司面临的最大且最复杂的风险之一，但许多董事会却不具备处理这一话题的技能。“他们只是在管理层提出的内容上盖章，或是提出一些他们从麦肯锡的一篇文章中读到的五个常见问题，但无法进一步探究他们得到的答案。”康奈利说。

他建议CISO在季度董事会资料中包含简短的培训视频、进行董事会桌面演练，或加入其他教育材料。“任何能帮助填补专业空白的东西。”

超越‘是’或‘否’的问题以及董事会与网络安全之间的脱节

在一系列领域，CISO对网络安全优先事项的看法与他们的董事会之间存在显著脱节。根据Splunk的CISO报告，CISO更可能认为知识深度是一项重要技能，而董事会则希望CISO在沟通和商业敏锐度方面做得更好。此外，董事会比CISO更坚持对现有的网络安全控制进行验证测试，并认为合规即成功。

这种对网络理解的差距可能会让董事们在充分利用CISO及其专业知识方面准备不足。

“你需要明白，一些董事会成员会非常关心网络安全，而另一些则不会。有时你必须向所有董事会成员介绍报告——有些人想要无限细节，而另一些人只想听到：‘一切都好，是吗?’”贝内特说。

为了超越‘是’和‘否’的问题，并向董事会提供有价值的背景见解和战略指导，CISO们需要的不仅仅是打勾练习。贝内特发现，利用额外的信息来源是拆解现实风险和业务影响的有效方法。“我不会只是说：‘这些是风险’。我会提供一些背景，帮助他们更深入地理解。”贝内特说。

可以将新闻中关于安全事件的文章与安全控制联系起来，说明预算是如何使用的，以及如果面临同类型的威胁，这对企业的风险水平和响应时间意味着什么。“我不仅仅会给出数字，我还会向他们展示我们的投资是如何发挥作用的。例如，我们是如何从可能需要五个团队成员三天时间来解决一个事件，转变为在四个小时内解决，并具有完全可见性。”他说。

在正式会议之外寻找与董事会成员互动的机会，也是CISO们改善与董事会成员交流的有力方式。

无论是通过委员会还是临时的一对一会议，这些互动有助于与董事会成员建立融洽关系，根据IANS 2025年《CISO现状报告》显示。

康奈利认为，这也是CISO与董事会之间建立成功工作关系的另一个重要因素。在他担任CISO期间，他被邀请参加董事会晚宴，并真正了解了审计委员会成员。“那种程度的接触和舒适感促进了良好的讨论，董事会成员们也很自在地提出问题。”他说。

（来源：企业网D1net）