無論企業在網絡安全上花費多少費用，都無法保證不會發生重大事件。那么，企業高級管理人員和董事會如何知道做些什么才有意義？

Michael Gabriel是Fortium Partners公司合伙人，作為企業技術代表，他參加了美國信息風險委員會召開的一次會議。此外，還有來自財務、人力資源、法律、人身安全、內部審計以及外部審計行業領域的一些高級管理人員參加了會議。外部審計表明，安全人員需要向企業董事會介紹潛在的網絡安全威脅。問題是，如果在管理人員做出回應之前就傳達了這一點，那么所要做的就是引起他們的關注，否則可能無濟于事。

Michael Gabriel表示，人們圍繞如何最好地傳達整體企業網絡安全狀況以及跨各個部門提出了一些問題，企業董事會需要盡快意識到這一點。無論網絡安全情況如何，都需要由外部審計向企業董事會提供簡報，而這是合理和必要的措施。

Michael Gabriel調查了一些專注于網絡的大型專業服務公司，這些公司都建立了網絡安全方法，但從最初的努力和持續的維護來看似乎非常困難，因為沒有人能提供人們想要傳達的清晰視角。

需要通過時間維度來看待網絡安全觀點

現在，人們都知道最好是通過一個清晰的故事傳達觀點。而人們的經歷將會強化傳達的觀點，其中包括：

?過去–就重大事件而言，人們經歷了什么？在這些事件中，人們學到了什么，做了什么？

?現狀–人們在新聞中聽到的威脅相關的風險是什么？將如何應對？

?未來–基于業務計劃和不斷發展的威脅，人們對未來需要擔心什么？這對前瞻計劃有何影響？

為了確保根據過去、現在和將來的觀點給予適當的關注，有必要持續更新狀態，重點放在關鍵的業務影響指標和計劃上，最好是在與企業董事會會議相銜接的基礎上進行。當然，這并不排除根據實際事件或感知到的威脅立即發出通知和采取行動的可能性，這些項目將列入下一次狀態更新中。雖然這為人們的工作方式提供了時間視角，但并沒有解決系統化網絡安全態勢所需的參考點。

確定網絡安全風險的基礎是什么？

Rain Capital公司執行合伙人兼董事會成員王晨曦（Chenxi Wang）博士提供了一個指導性的問題，就是“我們到底有多安全？”因為它不是基于任何評估框架的，而是基于個人觀點的意見。要了解企業的安全狀況，需要結合了解企業的威脅矩陣和評估網絡安全風險的基礎。

王晨曦博士指出，“網絡安全風險需要在企業面臨的重大風險的背景下進行討論。如何評估這些風險是否需要董事會關注，應該使用類似的風險框架，并且每6個月左右評估一次。”

專家提出的例子通常是為家庭實施的安全保護。例如家庭中每個房間都部署感測器，例如煙霧、熱量、水、一氧化碳、運動探測器和攝像頭，每個房間采用全天候監控，但是并不能保證住房不會被搶劫，不會著火，也不會被洪水淹沒。雖然購買保險能夠彌補一些損失，但房主的生活將會受到嚴重中斷，可能失去一些珍貴的貴重物品。但是，房主可以基于需要保護的內容決定需要支出保險費用。

從業務角度來看，這確實沒有什么不同。通過法律合同，企業的業務會受到法律保護，免受第三方網絡事件的影響，并在財務上受到網絡保險的保護，但是即使采用這些保護措施，企業的聲譽會受到什么影響？在進行補救之前，它將如何影響企業正在進行的流程或消費者或業務關系？

企業的業務風險和必要保護將根據其業務類型而有所不同。企業需要決定哪些資產（數據、系統訪問等）需要保護？如果這些資產受損會有什么影響？

Gabriel表示，例如媒體集團有一些不同的業務，而訂閱電視/點播業務面臨的風險不同于實時新聞機構，廣告支持的廣播網絡，電視和電影制作公司。盡管在整個組織中都有標準的信息安全策略，但是它們在各個業務部門中的相關程度卻有所不同。

企業需要保護哪些資產？

管理人員需要考慮對于企業真正重要的事情。需要考慮的一些領域包括：

?消費者信息（無論是企業內部還是第三方管理）

?法規遵從性（包括州和聯邦政府，國內和國際），例如PII、PCI、GDPR、CCPA、HIPPA等。

?供應鏈（數字或其他）

?品牌聲譽（包括社交媒體影響以及面向公眾或B2B的網站）

?知識產權保護，包括戰略和計劃

?員工信息（包括保密的第三方人員信息）

?非公開財務和合同信息

要發現這一點，需要與每個部門的所有業務負責人以及企業的外部會計事務所進行探討。企業管理人員必須能夠建立自己的信任關系，為業務提供幫助，而風險承受能力是業務決策，管理人員可以提供指導。

然后，企業需要了解網絡安全框架和標準。可以考慮以下一些標準，但建議匯總這些標準以傳達摘要級別的狀態，并以某種方式傳達當前和未來網絡安全計劃的潛在業務和財務影響：

?互聯網安全中心（CIS）關鍵安全控制（CSC）

?美國國家標準與技術研究所（NIST）的網絡安全框架（CSF）

?SANS前20個控件

?歐盟的GDPR（通用數據保護法規）

?加州消費者保護法（CCPA）

?ISO 27000系列（國際標準化組織（ISO）和國際電工委員會（IEC））

?美國企業董事協會（NACD）網絡安全準則

資金對企業的網絡安全風險有何影響？與同行相比如何？

盡職調查對于確定企業的網絡安全地位至關重要，企業的首席財務官可以發揮重要作用。

行業中通常會有一些有關支出的行業指南，例如金融服務部門網絡安全配置文件，可用于支出評估。那么會根據他們可能擁有的專業知識來探討對其審計公司以及關鍵網絡安全公司而言哪個有意義。

但是從這個角度來看，預算支出如何影響企業情況？如果企業的首席財務官、首席運營官或董事會問以下這些問題，那么將如何回應？

?是否需要更多資金用于網絡安全計劃，如果需要將如何降低風險？

?如果要求企業的網絡安全預算削減10%，這是否增加風險？

那么需要花費多少資金？是否批準該請求以獲取更多資源，或者是新的人工智能/機器學習威脅防御工具？從業務角度如何傳遞風險？公認的最佳實踐是使用基于風險的方法，該方法旨在確定采取適當的預防措施的成本是否值得潛在的風險影響。它可以是一個簡單的四象限視角，例如在一個軸上的風險從低到高，而另一軸上的成本從低到高，并且可以幫助企業評估有限的支出應該應用在哪里。

不過，正如Michael Gabriel在IBM高管會議上了解到的那樣，人們通常根據當前的確定性來決定未來的不確定性。David Rock博士在行業媒體上發表的文章支持了這一點：“通常人們的大腦渴望確定性，并像避免痛苦一樣避免不確定性”，這篇文章提到了如何處理確定性與不確定性的原則。人們致力于自動避免不確定性，并說明了為什么偏愛所了解的當前事物而不是不利的事物。它解釋了當前財務成本增加的阻力，以及何時發生網絡安全事件對其財務影響的不確定性。

在這里，有很多首席信息安全官的例子，有人問他們是否會在明年或幾年內再次提出對額外資源的要求。他們并不會表示內部和外部因素都會有影響。因此建議他們確保傳達要求的原因，這是公司控制的事件，例如收購和整合成本使他們的新業務提高了安全性？如果是這樣，則要決定這些更改是否合理，因為這是業務決策。還是有新的業務擴展（例如直接面向消費者）對網絡安全產生影響？還是需要保護新的營業地點？企業需要感覺自己對這些決策擁有一定的控制權。只有通過適當的評估框架，并了解潛在的網絡安全事件和預防性緩解成本對業務的影響，才能做到這一點。

由于發生某種類型網絡安全事件的可能性很高，因此企業還需要為事件響應做好準備——操作、法定和面向公眾。所有這些都會受到特定事件、業務類型、技術結構、第三方依賴關系以及不同類型的網絡安全事件的潛在影響。這也可以用上述類似的基于風險的方法來處理。

除非企業認真對待網絡安全，否則將掉入資金的黑洞。企業管理人員需要做出權衡和艱難的決定。需要準備好回答有關組織的網絡安全成熟度和為管理新出現的威脅而建立的框架的問題。應確保網絡安全狀態的框架與管理其他業務風險的方式類似，即潛在安全事件對業務資產的影響。

與企業首席財務官、首席運營官以及首席法律官（內部或外部審計）合作，以幫助為此提供依據。例如首席信息官、首席技術官、首席信息安全官等高管有責任以業務術語簡潔地解釋潛在風險和降低風險。盡管有些高管不喜歡看到網絡安全問題被記錄在案，但對此視而不見將會面臨風險。以業務可理解的角度負責任地傳達此信息，并建立適當的利益相關者支持，這是企業的責任。

責任編輯：ct