文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

每位首席信息安全官在董事会会议中应该能够回答的五个问题

2024-11-29 20:19

关注

监管要求(如证券交易委员会的新网络事件报告规则)和联邦、州及国际层面的其他监管要求,已提高了对网络事件和高管层级责任的要求。目前的勒索软件攻击及其他攻击事件也表明,网络事件会威胁公司的运营和声誉。

无论CISO在公司层级结构中的位置如何,董事会都越来越关注网络安全。简而言之,董事会在涉及网络安全风险时应向公司管理层提出的最大问题是:“我们安全吗?”

然而,这是一个复杂的问题,简单的“是”或“否”是不够的,CISO需要用董事会成员能理解的语言向高层管理人员和董事会成员解释公司安全态势的良好之处,他们必须提供资产安全的证据,解释如何衡量安全性,并展示公司安全态势的演变过程。

要充分回答这个问题,CISO需要回答五个关键问题。董事会可能不会明确提出这些问题,但在每次会议上解决它们可以有效地传达企业的网络风险态势。

1. 我们的关键资产安全的证据在哪里?

准备好回答这个问题是一个例子,说明预测董事会需要了解的信息如何帮助CISO提高表现。

安全领导者经常基于自己的最佳猜测做出决策。提供安全证据可能需要结合漏洞管理和暴露管理与传统资产情报,从而为你提供关键资产的完整视图。这些资产与SEC相关的业务风险有关,受支付卡行业(PCI)标准约束,包含敏感客户数据或是供应链中的关键部分。

列出你的关键资产,并确定哪些没有问题,哪些有问题,是带到董事会的有力证据。如果安全高管想要像首席财务官(CFO)等其他高级管理人员一样受到对待,他们必须携带实证证据,并基于证据做出论点。

2. 我们的关键资产的安全性季度同比趋势如何?

在识别关键资产后,你需要展示你的安全态势是否比上周、上个月或上季度更好,并解释为什么更好——或者更差。在后一种情况下,如果可以证明安全不足是由于资源、人力或许可的缺乏,CISO可以提出更多资源或更大预算的请求。

无论哪种情况,随着时间的推移跟踪趋势会鼓励CISO更加战略性地思考。

3. 你能展示我们需要在哪些方面投资以增强关键资产保护的指标吗?

除了展示企业的关键资产并识别存在问题的资产,你还需要深入了解这些问题的原因。例如,你可以识别由于生命周期结束或缺少安全控制或补丁管理而面临暴露的资产。

安全高管还可以展示有多少工单处于开放状态以及解决这些工单的进度。他们还可以展示投资不足导致暴露风险的地方。

4. 支持关键任务操作的资产的漏洞修复时间是多久?

修复不仅仅是发现和解决问题。一个关键问题是:需要多长时间?企业必须为其应用程序和其他资产设定参数,确定目标修复时间。

对于某些资产,14天可能是一个合理的目标,但对于关键任务资产,可能需要更短的时间——四天、三天甚至更短的时间。平均修复时间(MTTR)是事件响应的重要关键绩效指标(KPI),最终会影响公司的责任。

5. 有哪些证据表明受监管要求约束的资产符合规定?

为了提供资产符合规定的证据,像配置管理数据库(CMDB)这样的解决方案可以让你标记某些资产为关键资产,例如运行Oracle的任何系统或云中的所有内容。将这些信息导入或在资产情报解决方案中标记它们,可以将业务上下文层叠到其他措施之上,从而提供对关键资产状态的可见性。

除了标记关键资产外,你还可以例如在季度或财年末识别与PCI法规相关的所有关键资产或与金融服务相关的资产。资产情报和业务上下文标记允许CISO微调特定资产的指标,为董事会提供公司风险管理态势的更清晰的概念。

结论

无论CISO在公司层级中的排名如何,他们在网络安全方面都处于高压位置。这种压力越来越延伸到高层领导和董事会。

能够清晰解释公司安全态势、其演变过程以及需要更多资源的地方的CISO,可以缓解高层对安全的担忧,同时证明安全高管应当在高层会议中占有一席之地的理由。

来源:企业网D1Net内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯