董事會上的網絡安全:CISO角色邁向新時代
2015年某天上午,Joseph Carson開始向公司董事會闡述為什么網絡安全部門需要增加預算。這位部門負責人解釋道,公司特別容易受到勒索軟件和供應鏈攻擊的威脅。他表示,如果自己領導下的部門沒有獲得所需的資金,那么公司的數據就有可能面臨多次泄露的風險,隨之而來的公眾監督和法律審查將會導致公司股票暴跌,在座的各位都有可能失業。
董事會似乎確實受到了驚嚇。“首席執行官(CEO)和首席財務官(CFO)事后找了我,并向我表示感謝。”Carson回憶道。然后他們否決了Carson的預算申請。“那個時候,我就意識到,我們需要開始改變了。”
Gartner調研發現,董事會將網絡安全視為第二大風險源
如今,七年過去了,很難想象同樣的場景還會出現在哪家公司的董事會會議室中。分析公司Gartner的調研結果顯示,網絡攻擊之于大型企業已是司空見慣,董事會現在將網絡安全視為僅次于監管合規的第二大風險來源。
盡管如此,大多數公司董事會都缺乏網絡安全專業知識。去年,獵頭公司Heidrick & Struggles的一項調查中,僅12%的受訪首席信息安全官(CISO)在公司董事會中占有一席之地。
僅12%的CISO在公司董事會占有一席之地
2021年全球349位CISO董事會經歷調查結果
這種情況可能即將迎來改變。今年3月,美國證券交易委員會(SEC)公布了一項提案,一旦獲批,執行董事會就得負起監管公司網絡安全的法律責任了。與此同時,在英國,政府已明確計劃要求上市公司發布“韌性聲明”,其中包含有關網絡安全風險的具體信息。
Gartner預測,隨著網絡安全風險意識的不斷加深,到2025年,40%的董事會將擁有“適格董事會成員監督下的專職網絡安全委員會”,而在2020年這一比例還不到10%。CISO在公司董事會上占有一席之地的新氣象很快將會蔚然成風。
然而,如何成功實施的問題仍然存在。畢竟,網絡安全是門技術性很強的學科,很多人難以掌握。現任公用事業咨詢公司Delinea首席安全科學家的Carson解釋道,讓CISO加入董事會可不像教公司職員一兩條基本安全知識那么簡單。
相反,這事兒涉及觸發企業自上而下的文化轉型,轉向自適應的網絡安全。并且,Carson稱:“我的工作就是維護業務韌性,而網絡安全是我的技能組合。”
網絡安全人人有責
越來越多的企業認同這一點。Gartner針對企業董事的調查發現,88%的受訪者認為網絡安全不僅僅是IT部門要解決的技術問題,也是事關業務運營的基本風險。考慮到近期私營企業遭遇的黑客攻擊事件,這種認知毫不令人意外。IBM的企業數據泄露成本調研結果則顯示,83%的受訪公司在2021年遭遇了數據泄露,平均損失為435萬美元,創了此項調研開展17年來的歷史新高。
保證CISO在董事會中占有一席之地是確保公司牢牢掌控如何處理此類業務風險的一個方面。安全公司Proofpoint常駐首席信息安全官Andrew Rose表示,盡管如此,CISO在傳達自己的擔憂時應該小心謹慎。“‘天要塌了’式的敘述可以用一兩次,但在那之后,董事會會變得習以為常。”
Carson認為,應該通過積極的肯定來說服董事會優先考慮網絡安全,而且,理想情況下,專注在如何加強公司的防御上會有助于其長期表現。“你需要向他們展示這將如何幫助企業取得成功,如何幫助員工更好地完成工作,為股東提供價值,以及回報投資。”他說。
隨著時間的推移,加入董事會可能會使CISO遠離網絡安全的技術細節方面。安全公司eSentir首席信息安全官Greg Crowley闡述道:“這是最理想的狀態。他們不應該被看作是負責打補丁的人、全部風險的所有者,或者防止數據泄露的家伙。CISO應被視為領導者和高管,并且與其他高管一樣,統管全局。”
這一角色重心的變化非常明顯,以至于在一些公司中,CISO已演變為“BISO”,即業務信息安全官。“他們更符合業務語言、業務結構和組織結構,尤其是從董事會的角度來看。”Carson表示。
甲骨文和畢馬威最近發布的威脅報告顯示,超過三分之一的企業啟用BISO作為業務線(LOB)領導,負責與CISO和CIO合作。還有跡象表明,此類任命開始產生將網絡安全專家納入董事所想要實現的那種自上而下的文化影響——53%的受訪企業正聘用或計劃聘任BISO,希望其與LOB經理合作,將網絡安全融入業務流程。
效果如何?
考慮到當前困擾IT行業的招聘危機,以及僅過去一年里私營企業遭遇的勒索軟件攻擊就翻了一番的情況,將網絡安全融入業務流程的重要性尤為凸顯。而且,贖金要求也在持續上漲,CyberEdge的一份報告解釋道。屈從于贖金支付要求的企業比例也從2019年的45%上升到了2022年創紀錄的63%。
因此,我們必須了解IT團隊真正要保護的是什么。“這是個社會保護問題,而不僅僅是設備防護問題,因為我們開始將這些設備用于所有事情。”Carson稱,“通信、銀行業務、文件共享等等。這都成了一種與業務重疊的生活方式,我們必須評估其影響。”
理想情況下,成功的董事會級別CISO不僅要確保他的高管同事注意到這一信息,而且要確保公司的每個部門都能注意到。
這事兒說起來容易做起來難。雖然企業可能需要網絡安全管道來實現全面安全,但卻缺乏充分支持此類創新的框架。在最近的一篇博客文章中,transpotrt Passport首席信息安全官Mike Privette警告稱,BISO角色可創造出一種環境,令“集中式安全功能繞過BISO或成為其替罪羊,從而導致高管做出種種嘗試來展示其價值,但往往都失敗了”。
Carson對此表示贊同。“很遺憾,有時企業的CISO未必會做出改變。有時候他們是替罪羊,有時候他們是條例性檢查項目。”
要讓CISO的工作富有成效,他們必須放大視野,從真正的全局角度審視網絡安全,與各地政府合作,從而確保自己在企業內部所做的事情對廣大公眾有利。簡而言之,Carson解釋道,引發公司內部關于如何處理網絡安全的文化變革,只不過是董事會級CISO工作的開始,因為最終,落實安全措施不僅僅是為了保護你所在的企業”。
