“董事会需要教育,最重要的是让他们加快关键问题:他们应该使用的是什么,他们需要花钱,当他们需要购买保险时,”NACD的Glason说。“他们需要富有的报告来掌握它,因为它不是他们每天都管理的东西。”
2011年,K&L盖茨董事长和管理合作伙伴彼得卡利斯担心律师事务所 - 可以访问成千上万公司的企业秘密 - 可能是他客户网络安全框架中最薄弱的联系。“他得出的结论是,我们像其他人一样大的目标,”凯利斯为他的安全技能雇用了Angelo。
他第一次站在管理委员会之前,Angelo发出了他的高级风险定义:为了有风险,您需要不仅有漏洞,还需要对应于漏洞的威胁。“作为一个组织,你每天都会管理数千个漏洞。但他们是被动的,”Angelo说。“脆弱性就像一块炸药。你可以踢它。你可以扔它。但没有灯芯和某人照亮它,它不会下车。我希望他们专注于真正的威胁是什么。“
安吉洛在情报部门的背景就派上用场了。他开始思考哪些人可能会对律所获得的数据感兴趣,他们可能会如何设法获得这些数据,以及如何最好地防止他们试图闯入。“这是一个更简单的方案。这样你就知道该把钱花在哪里了,”安吉洛说。“这就是秘方。”
为了避免潜在的威胁,Angelo消化对不断变化的安全景观的第三方研究源泉。“曾经很难得到那种信息,但它变得更加容易获得,”他说。
风险业务
“网络安全不是一个IT问题。这是一个商业问题,”Lloyd Boyd说,他是一家管道、阀门和配件的工业供应商,Shale-Inland Holdings的首席信息官。“在我们的业务中,我们不处理消费者数据或健康信息,但我们知道,攻击可能会影响业务运营。我的董事会想知道风险是什么,以及我们如何管理它。”
但虽然董事会已经意识到近年来网络安全的重要性,但董事每天都不会像Boyd一样处理它。“他们不知道他们需要知道什么,”Boyd说。“对于我们作为CIO很重要,以便在实际术语中有效地传达这些问题。我们在某些时候将成为受害者,我们需要做好准备。”
罗伯特海尔
劳埃德·博伊德Shale-Inland的Cio表示,CIO必须以实际条款与董事会沟通。“我们将成为某个受害者,我们需要准备好。”
为了获得必要的准备工作,博伊德申请奥地利经济学家和哲学家Ludwig von Miss开发的“人类行动模式”煽动变革:创造不安的情况,与目前的情况,为更好的方式提供清晰的愿景,并创造一个明确的愿景,并创造一个明确的愿景安全道路前进。“为了让董事会感兴趣,你必须明确为什么他们应该感兴趣,”他说。
“安全应该是保护您目前的赚取和保留收入的能力,并降低未来新业务的风险,”Turpin说。“很多时候,它被视为它的一个子集,但实际上它是关于商业风险管理。”
格里森同意。他说,网络安全,“董事会必须作为企业风险结构的一部分,公司必须解决。”
在主要财务集团,董事会知道事件将会发生。“底线是他们想要一种感觉,我们是否采取谨慎的措施来管理这种风险,”Spolten说。防御深入的方法是工作吗?监测有效吗?公司是否能够回应事件?Spolten不仅提供了对校长网络安全姿势的评估;他还带来了第三方来评估安全状况。
变得真实的网络安全
大多数董事会成员很有可能都听过这样的陈词滥调:有两种公司:一种是已经被攻破的公司,另一种是还不知道自己被攻破的公司。“这会把他们吓得屁滚尿流,”格里森说。“但他们会挠头想,‘好吧……我们有些保护吗?这是什么意思?'"