Board members do not need to be cybersecurity experts to play an important role in defining the overall cyber health of their organization. 在这篇文章中, we will discuss how to shift boardroom conversations and considerations about cybersecurity to enable members, 公司管理层, 与信息安全人员共同努力,实施更有效的网络安全计划.

为什么董事会应该停止寻找网络安全的投资回报率

如果你正在寻找网络安全方面的投资回报率,你可能会发现很难衡量.

这些都不是你希望从网络安全公司的股东那里听到的,对吧?

但这并不意味着网络安全不重要. 问题不在于信息安全的价值——它绝对有价值. 问题在于围绕其价值的典型对话.

想象一下:

你拥有ABC Widgets公司.,并且有一个存储所有小部件的仓库.

每天,你都给在那里工作的员工发工资. 他们的任务之一是在离开之前确保仓库上锁.

每天他们离开前都会锁好仓库. 锁定仓库所花的5分钟的投资回报率是多少? 如果没有人试图闯入,那么这种努力的投资回报率就是零. 另一方面, 如果把仓库锁起来能阻止真正的入侵, 那么投资回报率就是仓库里的一切.

那么,锁定仓库的投资回报率是多少? 这种努力并没有增加收益或收入——而是防止了库存的损失, 从而避免损失金钱.

That analogy helps to articulate the challenge of trying to measure the value of an 有效的网络安全项目. 在传统意义上,网络安全很少提供明确的“胜利”方式, 因为这类投资通常与公司收入的直接增长无关. 而不是, 网络安全投资提供了防止损失的策略, 坦白说, 通常很难让人兴奋. 即便如此, 如果我们想要理解网络安全的真正价值,就必须改变董事会对网络安全的讨论.

而不是问一家公司能从网络安全努力中多赚多少钱, 更恰当的问题是,该公司在网络安全方面的投资能避免多少损失. 这很难确定, 但就像信息安全中的大多数事情一样, 正确的评估从风险评估开始.

尽管许多安全威胁在组织中是相似的, 每个公司的网络安全风险都不同. 风险评估的目的是帮助组织识别, 目录, 并衡量它所面临的独特网络安全风险, 以及这些风险被意识到的潜在影响.

一旦风险评估完成, 该组织将拥有在董事会讨论网络安全的坚实基础. 在这一点上, board members and company executives have the background knowledge necessary to recognize which risks the organization faces, 发生的可能性, 以及对公司收入和公众舆论的潜在影响.

正确评估网络安全投资的好处, 而不是问网络安全如何增加利润, 问问它将如何减少或防止损失. 在网络安全上投资可以帮助公司避免代价高昂的错误和潜在的客户信任的丧失——而且很难确定具体的金额.

CISO是否参与企业战略决策?

经验丰富的董事会成员知道,重大决策发生得很快. 经常, 重要的公司决策并不包括公司所有的关键领导代表, 比如安全团队. 这种疏忽可能会让安全专家匆忙实施控制, 确定其他风险缓解策略, 或者及时了解公司的变化, 并且会在计划的变更中引入意外的成本和延迟.

这种遗漏通常是由于一个简单的误解而发生的. There’s a misconception that security teams are the “no” police and will do anything in their power to keep the business from making big changes.

然而, 强大的网络安全功能的目标是使自身与企业的目标保持一致, and to advise business leaders regarding cybersecurity considerations so they can make well-informed decisions, 尽可能不要说“不”.

这里有一个简单的类比:

当被问及为什么汽车刹车很重要时, 大多数人都会回应, 因为他们会在你需要的时候让你停下来.”

事实上, 刹车很重要,因为它们能让汽车比没有刹车时跑得更快.

想象一下驾驶一辆没有刹车的汽车. 以避免一场大灾难, 汽车必须保持在平坦的地面上,时速不能超过几英里(它可能需要在地板上钻一个《明升体育app下载》(flintstones)式的洞,这样司机就可以用他/她的脚让它停下来)。.

信息安全控制也是如此. 它们的存在不是为了让一个组织慢下来,或者更糟——让它停止运转. 有一个组织的网络安全团队,这样公司就可以更安全地承担更大的风险.

想想这个:

没有安全控制, 一个组织几乎无法存储, 过程, 或传送任何敏感数据, 因为任何想进入网络并找到它的人都可以很容易地获得它.

Security controls and the efforts of the cybersecurity team are what allow a business to function most effectively and securely. 然而, 当安全团队参与战略业务决策时,即当管理层与安全团队或首席信息安全官(CISO)建立双向关系时,安全团队以最少的成本带来最大的价值。.

董事会如何在组织中促进这种关系?

第一个, 理解让CISO参与战略决策是管理团队的责任. 首席信息官很少会敲开管理层的大门,参与重大决策. 即使这真的发生了, 他或她可能找不到一个理解为什么他或她的参与是必要的执行团队. 因此, 管理层必须主动理解CISO角色的重要性,以及让安全团队参与战略决策的好处.

第二个, it’s the responsibility of the CISO to be a good team member and endeavor to understand the business objectives. 这到底是什么意思? 总而言之,首席信息官不能做“拒绝”警察. 他或她不应该试图关闭任何给组织带来风险的提议. CISO不仅要理解管理团队制定的计划, 也说明了它们对企业的重要性.

如果管理团队提出一项战略举措,对公司的安全状况造成适度风险,但可能会带来巨大的财务回报, CISO必须愿意考虑并可能帮助实施这个想法. 换句话说, the CISO should acknowledge the benefits of the proposed business initiative and seek to find affordable ways to manage risk to an acceptable level.  除此之外, CISO必须理解董事会的语言,并能够以易于理解和理解的方式向管理层提出安全概念, 没有经常与信息技术对话相关的“极客语言”.

最后, CISO和管理团队都必须朝着同一个目标努力——更好的业务. 然而,每一方都必须尽自己的一份力量,以确保实现这一目标.

CISO是否在公司内适当报告?

锤子是一种很有价值的工具——但如果你想砍一棵树的话就不是这样了. 同样地, 网络安全团队是公司成功的资产, 但如果使用得当,它是最有效的.

当试图确定一个组织是否是 有效利用其安全团队——因此, 如果CISO的报告结构是适当的,首先问这个问题:公司需要和/或期望网络安全团队为组织提供什么? 这个问题的答案决定了安全功能的适当报告结构.

传统上,网络安全团队遵循两种基本的运作模式之一:

1. 监督

在这个功能中,网络安全团队是独立于公司的IT团队的. CISO向首席法律官或首席合规官报告. 这种结构的好处是,它允许在it团队(经常处理日常技术操作)和网络安全团队(将时间花在解决安全性和遵从性挑战上)之间分离职责.

这个模型最适合以过程为中心的组织(i.e., the company has implemented formal 过程es for most business operations and does not have to spend much time solving problems “on the fly”). 为了使这个模型最有效地工作,必须非常清楚地定义“监督”.

  • 安全团队将如何监督公司流程?
  • 我们究竟要做些什么?
  • 监督过程中涉及哪些具体活动?
  • 网络安全部门有什么权力规定解决方案?

2. 操作+监督

在这个结构, 网络安全团队同时负责监督公司的安全项目, 以及它的一些日常IT操作. This model works best for organizations that are not necessarily 过程-centric and find themselves “putting out fires,因为它允许快速, 必要时综合反应.

The benefit of this model 是, it allows the cybersecurity team to work directly with the IT team—a necessity in any organization. 除此之外, 它允许组织向更加以流程为中心的结构发展, 在这一点上,IT和网络安全团队可以分离. 这种结构的一个挑战是日常操作可能消耗团队的安全工作. 而不是花时间识别和沟通风险,调整战略优先级, 网络安全专家可能会被服务台的罚单困住.

3. 混合的方法

以上两种方法都有各自的优点, 最先进的公司遵循一种混合模式, 其中网络安全团队分布在三个报告类别:

  1. 同时向IT部门和网络安全团队报告
  2. 仅向IT部门报告
  3. 仅向监督/合规/等部门报告. 部门

这种结构有什么好处呢? 这种模式在网络安全团队中形成了三个较小的部门:一个负责监督的团队, 处理操作的程序, 另一个负责监督和执行必要的操作. 该模型允许安全团队灵活地响应日常操作, 在必要的时候, 同时维护强大的(和目标的)安全性和遵从性. To whom the CISO ultimately reports in this hybrid design depends on what the cybersecurity function is expected to provide to the company, 以及企业文化.

董事会代表应了解网络安全运营模式管理的决定,并熟悉网络安全预期为公司做什么. 这一知识将允许董事确定安全报告是否适当在公司内.

贵公司是否有全面的网络安全计划?

如果有一套精确的步骤可以遵循,那就太好了, 没有放之四海而皆准的网络安全方案. 从30,000英尺的视图, 开发一个全面的信息安全计划似乎很简单——事实也确实如此. 当你开始深入研究组织所面临的特定风险时,挑战就出现了, 因为许多网络安全问题并没有一个直接的答案.

就像一套量身定做的西装,或者每个人都喜欢他们的咖啡, 网络安全项目是独一无二的. 有一个全面的网络计划, 仅仅看其他公司在做什么,模仿他们的努力是不够的. 每个组织都必须定义一个适合他们公司的程序. 董事会应该问管理层:“一个好的网络安全项目对我们来说是什么样的??”,说, 有四个关键步骤,每个组织都应该做,以确保他们的网络安全计划是适合他们的需要和风险承受能力.

1. 执行风险分析.

风险分析是信息安全项目的基础. 它会询问和回答诸如:公司存储什么类型的数据, 过程, 和/或传输? 敏感数据被恶意用户访问的可能性有多大? 违约会有什么后果? 好消息是,组织不需要自己做这种分析. 有经验丰富的, 合格的实体(如LBMC 信息安全),可以就网络安全风险提供客观但充分知情的视角,并帮助确定弱点的优先级,以便每个组织可以确保其利用有限的资源来解决最重要的网络风险.

风险分析应该针对一个已经建立的, 行业普遍认可的标准就像 NIST脑脊液, ISO 27001,或公司所在行业的任何其他通用安全框架. 这些框架的创建者花时间定义了所有网络安全项目应该考虑和解决的一般领域和功能. Using a framework as a 基础 for evaluation and decision-making ensures that an entity is taking an in-depth and well-rounded look at its risks.

2. 开发控制,将安全集成到业务运营中.

审计人员(以及黑客,就此而言)并不关心一家公司对网络安全谈论多少. 他们关心的是控制是否到位,是否按设计的那样发挥作用. Use the risk analysis as a guideline to determine which controls must be implemented (or enhanced) to secure data to a reasonable degree. 这就是不同公司的决策和行动开始不同的地方.

一些公司将非常敏感的数据存储在高度可见和可访问的系统中, 因此,他们必须花很多钱来保护这些数据. 其他组织以较难访问的方式存储低风险数据, 哪些通常可以用较低的预算. 最终, 每个组织都必须确定如何将网络安全落实到企业的日常运营中,以将风险降低到可接受的水平.

3. 把它写下来.

为了让安全程序真正真实,它必须被写下来. 文档之所以重要,有几个原因. 首先,如果员工不知道安全职责是什么,他们就无法履行安全职责. Documenting security controls provides clarity and transparency into a company’s information security program, 以及它对保护敏感数据的期望.

第二个, it’s difficult to assess the effectiveness of a program if the program’s objectives and approach aren’t clearly documented. The proper way to verify that security controls are in place and operating effectively is to inspect (audit) them. 没有要求到位的控制的书面记录, 不可能知道要评估什么来确定组织的安全状况.

4. 实现控制.

对许多公司来说,确定并记录网络安全控制措施是一项重大举措. 问题是,太多的公司止步于此. 通常一个公司有关于他们的安全程序的全面的文档, 但他们缺乏对控制过程的实施.

以确保网络安全计划产生预期的结果, 组织必须带着接力棒跨过终点线. 一旦控制被设计并记录下来, 它们必须在整个公司有效地实施. Be sure not to make the mistake of documenting desired future-state as the current reality; document the controls that are truly being performed within the organization 今天. 记录组织希望做什么可能有助于设定未来的目标, 但这不会给评估员留下好印象. 写下的内容应该反映组织内部的实际情况.

公司是否正在培育合规和安全的文化?

事实是:每个组织的员工每天都在创建、处理和操作敏感数据. 这意味着员工是 第一道防线 保护一个组织的敏感数据.

现在的问题是, 在许多公司, 网络安全培训没有被视为一个学习机会, 而是一个需要定期检查的选项(完成后大部分都被遗忘了). 再加上一个事实, 在处理敏感数据相当长的一段时间之后, 许多员工可以分为两个阵营:

1. 他们变得麻木.

有些员工过于频繁地处理敏感数据,以至于他们甚至忘记了这一点. They are exposed to it and 过程ing it so frequently that they treat sensitive data like the results of last night’s football game. 这是微不足道的.

2. 他们变得过度敏感.

而其他员工则变得麻木. 他们感受到他们所处理的所有数据的重量. That means they might misclassify patently insensitive data as “sensitive” or might go to unnecessary lengths to protect unimportant data.

How can a Board of Directors help management and the employees discern sensitive data and handle it correctly? 问一个简单的问题:公司是否执行得当 安全意识培训?

适当的培训意味着确保组织的 网络安全意识程序 是为公司内部的个人职能量身定制的吗. 许多组织为所有员工提供相同的培训——即使不同部门的员工以不同程度的频率处理不同的数据.

而一个基本的安全意识培训项目对所有员工都有帮助, 公司也应该根据员工的具体工作职能为他们提供额外的培训.

例如:

An entry-level employee at a healthcare company may handle mildly sensitive data for a set number of clients or patients.

Contrast that with a senior-level cybersecurity team member who regularly interacts with the company’s entire spectrum of sensitive data.

在上面的例子中, 两名员工都应该接受基本水平的安全意识培训, 但网络安全团队成员也应该接受更密集的培训. 进一步, 初级员工应该接受与他或她定期处理的数据相关的培训.

在一个组织中真正发展一种遵从性和安全性的文化, 公司可能不得不改变它看待数据处理错误的方式和反应. 网络安全错误并不总是被视为应该受到惩罚的罪行或不可原谅的错误. 如果员工相信他们每犯一次错误都会受到惩罚, 他们可能会试图隐藏这些错误,以及他们对网络安全相关话题的缺乏知识,因为他们害怕会惹上麻烦.

相反,把大部分处理数据的错误看作是教学的机会. 信息安全方面的失误是一个重新审视和澄清员工责任的机会,并教会他们如何在未来避免此类问题. 当然, 如果一个员工继续不履行他或她的职责,就应该有后果.

遵从和安全的文化始于高层的基调. 董事会成员应该向公司强调网络安全是:

  • 重要,不仅仅是在一般水平上,而是在每个角色的特定水平上.
  • 对每个参与的人来说都是一个持续的学习经验. 在努力改进的过程中,承认错误或缺乏知识是可以的.

网络安全供应商风险管理提示

每个公司的供应商都给组织带来独特的风险. 是否会对信息安全或公司产品或服务的可用性造成风险, 所有供应商服务都有特定的风险级别.

在当前的技术环境下, 供应商不仅是有帮助的,而且需要运行许多业务的某些方面. 大多数组织在关系开始时都密切关注他们的供应商, having them sign a nondisclosure agreement and/or some type of contract that outlines responsibilities and expectations related to the agreement. Those organizations might also check in on their vendors’ security postures once a year for compliance purposes.

为了让审计人员满意,公司可能会在账目上划勾——但是, 如果他们所做的只是勾选复选框, 他们没有恰当地管理供应商带来的风险. 以下是董事会成员应该向管理层提出的关于供应商的三个关键问题:

1. 我们了解我们所有的供应商是谁吗?

这个问题可能看起来很简单,但是供应商的列表可能比预期的要多. It’s worth the time to look at the contract management system or Accounts Payable to define a concrete list of vendors.

这里需要注意的是,风险并不仅限于供应商. 多亏了 HIPAA的混合规则 2013年通过, 供应商风险管理程序必须扩展到特定供应链中的整个供应商链. 这意味着供应商的供应商等等, 一路向下, 可能需要包括在库存中.

2. 我们对每个供应商都有一个风险排名吗?

并不是所有的供应商都具有相同的风险水平. The waste management company probably doesn’t introduce the same level of risk to a company’s security or availability as a cloud service provider. 管理人员应该询问问题,以帮助确定每个供应商的风险水平, 如:

  • 这个供应商处理什么类型的数据? 它是敏感的?
  • 他们每天、每周、每月要处理多少数据. 基础?
  • 有多少人与数据交互?
  • 这个供应商对我们向客户提供产品/服务至关重要吗?

供应商在企业中扮演的角色越大,他们引入的风险水平就越高. 记住,不要仅仅从安全性的角度来看待风险. 如果供应商不处理太多敏感数据, 但对公司的业务提供至关重要, 该供应商仍可能获得高风险排名.

3. 我们为明升体育app下载供应商实施了什么控制?

正如前面所提到的, most companies are good at “checking off boxes” and signing the appropriate paperwork during the beginning of the relationship. 而是要有一个真正全面的供应商风险管理程序, 控制应该在整个业务生命周期中实现.

实施针对步骤2中确定的风险的控制. 例如, 对于存储大量正常业务流程所需数据的云服务提供商,定期执行备份并离线存储副本可能是合适的. 每个供应商风险管理计划所使用的策略可能不能完全消除某些风险, 但它们应该能够将风险降低到合理的程度.

供应商是大多数业务流程不可或缺的一部分. 因此, 重要的是,不仅要有良好的开端, 而是在整个业务生命周期中有效地维护它们. Properly designed and implemented oversight of these critical business relationships will help a company with their 供应商的风险管理.

在公司的法律程序中获得安慰

看看周围. That’s all it takes to notice that 今天’s technological landscape is wildly different from what it used to be. 随着大量新的“智能”设备出现,它们成为目标的风险也在增加. 并且存储了大量的个人数据, 加工过的, 每天都要处理, 围绕这一主题的立法正在形成,这并不令人意外.

跟上网络安全方面不断变化的规则、法规和法律是一项全职工作. 网络安全行业正在迅速发展. 信息安全相关法律法规背后的理念是告知消费者, 这样他们就可以在隐私方面做出更好的决定.

While Board members may not be concerned with consumers’ understanding of the legal 过程es around cybersecurity, they should be comfortable with the company’s understanding of those legal 过程es and its obligations to comply with any applicable 规定. 董事会成员应该问:

该公司如何保持对网络安全法律法规的当前理解?

这些法律法规为公司围绕信息安全的整个文化定下了基调, 所以他们不可能是事后才想到的. 每个组织都应该有一个总法律顾问或CLO,以随时了解最新的网络安全法律法规,并将这些法律法规的影响有效地传达给公司董事会和领导团队. 除此之外, 每个组织还应定期与外部法律顾问合作,以确保总法律顾问或本组织没有忽视任何“盲点”.

对一般法律顾问和外部法律顾问来说,了解相关法律法规不仅很重要, 但这些个人还必须与网络安全团队密切合作,以确保网络领导者对法律法规保持彻底的理解,并有效地实施控制来解决这些问题. 法律顾问还应审查公司与供应商的每一份合同, 因为这些合同安排和义务可以引入网络安全要求, 例如符合PCI或HIPAA的要求.

这里的共同主线是降低风险. 不遵守法律, 规定, 或者合同义务给组织增加了重大的风险. 保持对这些主题的认识可以降低损害声誉的风险, 敏感数据丢失, 未履行合同义务, 和更多的.

所有有新闻价值的事件都与网络安全妥协和数据泄露有关, 我们很难忽视这些话题, 但也很难有效地管理网络安全问题. LBMC信息安全可以帮助识别法律, 规定, and contractual obligations your company must meet and help you put controls in place to address them effectively.

董事会应该知道的关于网络安全保险的一切

目前出售的大多数新车都有良好的安全功能,旨在减少碰撞的机会,并在发生碰撞时将对乘员的影响降到最低. 当然, 事实上,大多数新车购买者并不指望购买一辆汽车能利用安全功能, 买家希望永远不用它们!  在理想的情况下,这些安全功能会闲置很多年.

网络安全保险就像那些汽车安全功能. 这是一个组织希望它永远不需要利用的东西, 但在紧急情况下,这将非常有帮助. 换句话说, 网络保险是许多组织不知道他们需要的东西, 直到他们希望他们已经拥有了它.

汽车的安全功能和网络安全保险之间的区别, 虽然, 是,, 而安全设施可能会帮助汽车乘客在车祸中毫发无伤地逃生, 没有哪家公司会在不受到影响的情况下就离开.

而网络安全保险无法阻止入侵, 它可以帮助抵消在漏洞发生后清理混乱的成本. 问题是 网络安全保险并不便宜.

但这里有个好消息:网络安全保险的成本取决于一个组织, 在很大程度上, 公司网络安全项目的质量.  决定保险的成本和金额时, 保险公司必须评估接受公司作为客户所涉及的风险.

带来更多风险的客户i.e.这些公司“更有可能遭遇黑客入侵”(也就是: 没有全面的网络安全计划)——可能会为保险支付更多的费用,或者被完全拒绝投保.

相反,风险较小的公司.e.,“那些不太可能遭遇破坏的人”(读作: 是否有一个全面的网络安全计划)——可能会找到足够的保险范围,支付更少的保险费用.

简而言之,网络安全保险不是 坏 想法,但不太可能解决任何网络安全问题. 相反,它将有助于抵消解决问题的成本 后 他们已经发生了. Companies can protect themselves—and get a better rate—by implementing a comprehensive cyber security program.

以下是董事会的一些开场白:

  • 管理层是如何确定公司需要的网络安全保险的数量的?
  • 管理部门要求关键供应商提供什么样的网络安全保障?

无论你的组织处于网络安全的哪个阶段, LBMC信息安全可以提供帮助.

We hope this article will help you and your board shift your conversations and considerations about cybersecurity so that your board members, 公司管理层, 并能与信息安全人员一起有效地开展工作,实现更多 有效的网络安全项目. 了解更多关于LBMC信息安全的 综合信息安全服务明升体育app下载 今天!

友情链接: 1 2 3 4 5 6 7 8 9 10