向董事会汇报网络安全工作的12条建议

网络安全是董事会最关心的问题之一。实际上，在全美企业董事协会(National Association of Corporate Directors)调查的近500名企业领导中，有42%的人将网络安全风险列为他们面临的五大最紧迫问题之一，仅次于监管环境的变化和经济发展减速。

因此，安全管理人员频繁向董事会汇报他们面临的风险以及减轻风险的策略。然而，很多董事会成员发现，他们没有从首席信息安全官那里获得所需的信息。

管理咨询公司麦肯锡(McKinsey & Co.)高级合伙人David Chinn表示：

首席信息安全官在向董事会传达网络安全风险时，应该遵循一些最优做法并避免常见错误。

1. 充分做好准备工作

高官们应该在进行汇报前几周，将准备好的书面报告上交给董事会成员。一些人认为提前做好准备工作就足够了，但有经验的高管和领导顾问表示，首席信息安全官们(特别是是那些在董事会开始之前时间有限的人)需要更专注于准备工作，甚至去接受特定的培训。

Hayslip在向新董事会进行第一次汇报之前，请求他的首席财务官帮自己联系一位愿意帮助他准备这次汇报的高管。他表示：如果我要向董事会做报告，而我从来没有和他们交谈过，我可不想走进冰冷的董事会。我不知道他们会问什么样的问题，我不知道他们想要了解什么。所以我和同事进行了沟通，询问其他已经在董事会面前进行汇报并得到反馈的其他高官们——都有谁在那里，他们是什么样人，他们会问什么样的问题——然后我就能知道我将要向谁进行报告，他们希望怎样的数据呈现方式了。

2. 提供一份评估报告

Hayslip表示准备工作以及他后来向董事会进行报告的经历，让他明白了一些董事们想知道的内容，即对公司网络安全状况的一份评估以及需要如何进行改进。

3. 保持透明性

专家表示，评估报告不应该模糊企业面临的风险，因此首席信息安全官应该提前，并以直接，易懂的方式提供相关信息。

Chinn表示：很多组织机构都有一个威胁情报部门，他们会为董事会收集这些信息，让董事会成员觉得他们已经了解相关信息了。董事会成员想知道企业风险、这种风险带来的商业影响、他们的投资在多大程度已经转化为控制，以及这些投资是否有效降低了风险。

他举了一个很好的例子，来说明如何提供这样的信息：在一个组织机构中，首席信息安全官开发了一个自助应用程序，董事会成员可以根据需要使用该应用程序访问相关信息。

4. 准备应对(棘手的)问题

会议室可不是让人惊喜的地方。因此，IT治理协会ISACA的董事会主席Rob Clyde建议，首席信息安全官们应该预测董事会成员可能提出的问题——尤其是那些最难回答的问题，比如 “我们的安全性有多好?” 和 “我们安全吗?”。

Clyde表示，首席信息安全官们通常很难恰如其分地回答这种类型的问题，因此在匆忙回答间往往会给出不充分或令人困惑的答案。

他建议首席信息安全官们提前考虑，并制定应对措施。他还建议首席信息安全官使用网络安全成熟度模型，比如ISACA的CMMI研究所提供的模型，对这些棘手的问题给出清晰、有意义的回答。

同时，他表示首席信息安全官不应该让董事会、其他高管和首席执行长对此类问题的回答感到意外。Clyse表示，首席信息安全官应该与他们的首席执行官分享他们对这些问题的回答;事实上，首席信息安全官应该确保首席执行官了解他们将要报告的任何内容，这样他们就不会将首席执行官置于任何尴尬的境地。

5. 诚实面对劣势

与此相关的是，经验丰富的高管们表示，在回答有关组织风险和网络安全形势的问题时，首席信息安全官应该实事求是，即使他们担心自己的回答可能会让自己看起来效率低下。Clyde表示：有些董事会问，“我们是100%安全的吗?”，你绝不应该给出肯定的答案，或者提供毫无根据的保证，给出模糊的答案。

6. 但也不要吓到董事会