同样重要的是,因为Spolten的董事会更新是他进行的积极教育和意识计划。“我们对培训和保持新趋势的人真的很激进。董事会的问题随着结果而变得更好。”
博伊德说,理想情况下,你应该制定一个程序,向审计委员会或整个董事会提供有关威胁和企业风险评估的更新信息。
Gleason表示,可以通过风险记分卡,热图,IT安全仪表板或一些其他格式呈现此类更新。“有各种各样的方式呈现它,但目标是传达风险是全面的风险,自上次更新以来如何改变,”他解释道。
在不确定性中建立信任
由于Angelo于2011年向董事会提供了第一次网络安全展示,他与董事的互动已经发展。在早期的媒体中有两个零日漏洞。“它产生了大量的问题。我的电子邮件会亮起,”他回忆起。他发现自己不得不安排与董事会成员和高管的会议讨论事件。“但这很好,”他解释道。“一旦我能够解释它对我们的建筑没有影响,问题就消失了。”
快进至今年2月的管理委员会会议和巨大的国歌突破,差异很清楚:他不再被最新的头条新闻缺席,最终与K&L盖茨的安全风险状况不大。委员会成员肯定意识到大违规行为,但他们相信Angelo在其顶部,并没有中断他的定期网络安全更新在会议上与问题或疑虑进行会议。“一年前,它将占据讨论,”Angelo说。但这一次,他说:“我能够坚持事实。”
不过,由于威胁不断演变,首席信息官们必须传达一个现实的信息。“有一件事我总是以‘事情会在一夜之间发生改变’作为结尾——他们可能已经听腻了我这么说。”安杰洛说:“你可以安心地上床睡觉,而一觉醒来就会发现我们很容易受到漏洞的攻击。”“坏人只需要做对一次。我们必须永远正确。”委员会理解这一点,但成员们对公司的安全态势充满信心,因为他以透明的方式与他们讨论安全策略。
“持续持续威胁。无论是来自国家赞助的攻击还是有组织的犯罪,都有很多简单的方法可以将数据货币化以使其成为有利可图的创业,”Boyd说。“与此同时,天空不会下降。我们每天都没有重大问题。威胁更为复杂,但我们的保护机制也是如此。”
Boyd说他与Shale-Inland Board的定期沟通使得这很清楚。“它很好地工作。这是一个成熟的问题,展示问题并使董事会成为指导我们想做的事情的合作伙伴,”他说。“每个人都想说,”只是相信我建立我们需要的东西。我们不能做到这一切,我们不能快得足够快。我们不想创造一个虚假的安全感。“
这个故事,“董事会在安全威胁上进行了高度警报”最初发布CIO. 。