Gartner：董事会一定会问的五类安全问题

如今的董事会所拥有的信息来源越来越多并且在质疑公司安全计划的效果时准备得更加充分。为了在远程团队日益增长的网络安全威胁环境中实现数字化目标，他们与安全和风险管理领导人的对话也变得更加复杂和细致。

因此，他们根本不可能会问一些基本的问题，比如我们有多安全？为什么我们去年刚刚批准了X，现在又需要在安全方面投入更多的资金？你说我们被“黑”了一百次是什么意思？相反，董事会将进行更加具体、精准的探询。

安全和风险管理领导人往往难以回答董事会因媒体报道而提出的问题，这导致企业领导人和技术领导人之间信任的破裂。

因此，您所准备的回答应该将讨论引向保证、合规和对安全实践的支持。除了个别董事会成员感兴趣和关注的事情之外，整个董事会关心以下三件事情：

• 收入/任务：运营或非运营收入以及增强非收入任务目标
• 成本：避免未来成本以及大幅减少运营费用
• 风险：金融、市场、监管合规和安全、创新、品牌以及声誉

董事会所提出的问题可以分为以下五个类别：

事件类问题

问题内容：怎么会这样？我以为你已经控制住局面了？什么地方出了问题？

提问原因：当一个事件或事情发生后并且董事会已经知道或者首席信息安全官（CISO）正在通知他们时，就会出现此类问题。这一点在目前尤为明显，因为董事会可能会在大部分员工在家办公的情况下问一些关于企业机构安全的具体问题。此类问题也可能出现在任何其他事件中，包括可能已经影响到整个企业机构的数据泄露。 

如何回应：有些事件（无论哪种类型）是不可避免的，所以应接受事实。分享您所知道的以及您正在做的工作，挖掘您还不知道的事情。简而言之，接受事件、提供关于业务影响的详细信息、概述需要解决的弱点或差距并提供缓解计划。

在董事会面前应注意不要只提供一个选项作为最终选择。虽然安全领导人仍承担安全和风险监督职责，但责任始终由董事会/高管界定。

权衡类问题

问题内容：我们100%安全吗？你确定吗？

提问原因：这样的问题往往来自于那些没有真正理解安全和业务影响的董事会成员。要做到100%的安全或保护是不可能的。您的职责是确定具有最高风险的领域并根据业务需求通过分配有限的资源来管理它们。

如何回应：一开始可以这样说：“由于威胁环境在不断演变，我们不可能消除所有信息风险来源。我的职责是采取控制措施来管理风险。随着业务的增长，我们必须不断重新评估合适的风险级别。我们的目标是建立一个可持续的计划来平衡安全需求和业务经营需求。”

处境类问题

问题内容：外面的情况有多糟？在X公司发生的事情怎么样了？与其他公司相比，我们的情况如何？

提问原因：董事会成员会通过威胁报告、文章、博客和监管压力来了解风险。他们总是会问别人在做什么，尤其是同行企业机构，而且想知道自身的处境并与其他企业机构进行比较。

如何回应：避免猜测引起其他公司安全问题的根本原因，而是回答：“在获得更多信息之前，我不想猜测X公司的事情。但在我了解到更多信息后，我将十分乐意与您分享。”可以考虑讨论一系列更加广泛的安全对策，例如确定类似的弱点以及如何更新业务连续性计划等。

风险类问题

问题内容：我们知道我们面对的是哪些风险吗？什么事情让你夜不成寐？

提问原因：董事会知道接受风险是一种选择（如果他们不知道，那么您就需要解决这一问题），但他们想知道公司风险是否得到了妥善的处理，所以您应该做好解释企业机构风险容忍度的准备，以便为风险管理决策辩护。

如何回应：解释风险管理决策对业务的影响并确保有证据支持您的观点。第二个部分至关重要，因为董事会会根据风险容忍度来做出决策。任何高于容忍度阈值的风险都需要采取补救措施将其控制在安全范围内，但这不一定需要在短时间内做出巨大的变化，所以应注意不要反应过度。

董事会希望您保证您正在充分管理重大风险并且在某些情况下应采取温和的长期策略。请记住，董事会要对“整个企业”的风险负责，而网络风险虽然很重要，但也只是其中的一小部分。您应该要求自己做到简明扼要。缺乏控制不是风险，尚未出现的下一个巨大威胁也不是风险。专注于您能够控制的高价项目上，例如知识产权损失、监管和第三方风险。

绩效类问题

问题内容：我们是否合理分配了资源？我们的开支是否足够？我们为什么要花这么多钱？

提问原因：董事会想要确认安全和风险管理领导人没有在停滞不前并希望了解各项指标和投资回报率。

如何回应：可以使用平衡记分卡方法，这种方法运用的是一种简单的交通信号灯机制。最上面的一层应表示业务愿望和企业机构在这些愿望方面的表现。尽可能从业务绩效（而不是技术）的角度来解释这些愿望，并且应该使用一系列通过一套客观标准评估的安全衡量指标来支撑绩效。