行业专家指出,面对安全威胁,企业高管和董事会成员需要更加关注 *** 安全。首席信息安全官(CISO)需要通过SolarWinds安全事件等危机将安全转化为商业战略。
Abacus公司首席信息安全官Bill Brown指出,像SolarWinds如此引人注目的 *** 安全漏洞事件应引起企业高管和董事会成员的关注。他曾担任三家公司的信息安全负责人。他说,任何公司的高管通常在听到最新的安全漏洞后都会打 *** 给他寻求安全保障。他们会说,“这种事件会发生在我们公司吗?我们该怎么办?”
但现在很多董事会成员对此漠不关心。
SANS研究所新兴安全趋势负责人John Pescatore表示,虽然SolarWinds安全漏洞事件成为头条新闻,但需要考虑其他对企业业务的影响,如冠状病毒疫情。“对于企业董事会来说, *** 安全是其责任所涉及的诸多风险之一,而对于大多数公司来说,这并不是更大的风险。”
在Trend Micro公司和Enterprise Strategy在集团最近的一项调查中,约85%的安全负责人表示,与两年前相比,企业董事会更参与安全决策和战略。然而,由于重大泄露事件、新的合规要求或业务信息安全官员(BISO)这些高管会关注安全计划。
该报告建议企业需要增加业务信息安全官员(BISO)为了提高业务安全一致性,其职责是建立自上而下的可衡量项目,改变报告结构,使首席信息安全官(CISO)直接向企业首席执行官报告。归根结底,首席信息安全官(CISO)有责任与企业高管和董事会建立密切关系,并定期与他们交谈。
为了保持发展势头,首席信息安全官(CISO)企业董事会必须以风险和 *** 安全战略的形式(不仅是技术解决方案)提供稳定的信息流。安全主管和分析师提供了一些技能、工具和框架,以帮助将安全转化为战略,确保 *** 安全。
1. 与商业模式相匹配
SANS公司安全意识总监Lance Spitzner说,“首席信息安全官(CISO)要做到这一点,必须有全面的战略和战略业务工具。”SANS公司为安全领导人提供了为期五天的类似服务“MBA”本课程旨在了解企业高管和董事会用于衡量风险和制定策略的商业模式和框架。首席信息安全官(CISO)可以研究PEST模型、SWOT分析、平衡计分卡,或如何集成能力成熟度模型(CMMI)模型与NIST结合 *** 安全框架,将不同战略安全计划的成熟度传达给企业董事会成员。
Spitzner指出首席信息安全官(CISO)不需要了解所有这些模型,只需要了解对企业董事会至关重要的模型。他们需要与董事会成员交谈,并询问他们在董事会会议上使用哪种模型。
一些行业的具体安全框架也促进了企业董事会的讨论。Abacus公司最近完成了HITRUST认证是医疗保健领域的通用安全框架,经常需要这个框架来处理受保护的健康信息。Brown这些认证使企业的安全活动更加结构化,包括与董事会成员沟通的要求。一些控制措施包括定期与执行团队进行对话,讨论他们在保护资产和业务伙伴方面的作用,以及他们的责任和首席信息安全官(CISO)相同。
数据可视化工具还可以帮助首席信息安全官(CISO)更好地将 *** 数据转化为业务影响。Brown为Abacus该公司创建了一个季度热图表,使用颜色表示表中的数据值,从低绿色概率、低影响问题到高红色概率、高影响问题。数据值显示了确定的潜在风险Abacus公司的可能性和影响包括对客户、业务和与供应商和合作伙伴关系的看法。他的团队定期监控和更新数据。
Brown说:“自上个季度以来,公司董事会一直期待着热图的变化。如果一个事件具有很高的潜力和影响力,安全团队正在做什么来降低它们的可能性或影响力。”
2. 以竞争对手为基准进行测量
Pescatore他说,企业董事和高管希望首席信息安全官以竞争对手为基准来衡量他们的工作,这类似于首席财务官和首席运营官向企业董事会展示的内容。“企业董事会成员希望听到,在安全计划或供应链保护方面,是比竞争对手差还是好?但通常很难做到这一点。”他指出,但有很多资源可以提供帮助。美国信息共享分析中心委员会是一个组织,主要负责收集和共享关键基础设施的 *** 威胁。
美国信息共享与分析中心(ISAC)它还促进了公共部门和私营部门之间的数据共享。该中心列出了医疗保健、零售、酒店、金融服务、媒体、石油和天然气等24个行业。Pescatore说:“人们有能力团结起来应对这种情况,但并没有完全放大。”
3. 利用立法促进
SolarWinds对美国 *** 机构的攻击使新的行政管理专注于加强美国的 *** 安全防御。美国联邦隐私立法的要求也在增加,近年来提出的一些法案最终可能会受到关注。这是一个热门话题,美国国会需要就新的联邦法律可以取代有效的州立法达成共识。
例如,《加利福尼亚州隐私权和执行法》(CPRA)它将于去年11月生效,并将于2023年1月1日生效。法律要求总收入超过2500万美元的企业提供合理的 *** 安全保护措施,提交年度 *** 安全审计,向新成立的加州隐私保护局提交风险评估监管文件,并要求合同条款和其他保护措施解决供应链安全和隐私风险。美国其他八个州也有类似版本的隐私法规。
分析师表示,首席信息安全官(CISO)关注新法规,分享积极的 *** 安全措施和投资,使企业合规。
4. 建立良好的人际关系
分析师指出,首席信息安全官(CISO)不仅需要随时征求信息请求或召开季度会议,还需要与高管和董事会建立和培养关系CISO作者的战略、战略和领导力Michael Oberlaender表示:“我们应该始终保持开放的沟通,而不仅仅是在重大危机这是核心问题,否则安全就会被忽视。”
Brown说,“建立良好的人际关系可以得到盟友的帮助。一旦发生了不幸的事情,所以有了这种关系,每个人都可以一起解决问题,而不是互相指责。”