确定网络安全沟通的差距,并找出弥合差距的方法.
董事会和管理层都担心网络安全松懈会对公司造成影响, 这两个小组必须共同努力,以缩小在这个问题上的沟通差距,并继续朝着有效保护组织信息资产的目标前进.
常见的沟通差距
你的董事会知情吗? 沟通是双向的, 这是管理层和董事会之间许多沟通差距的起点. 我们经常发现董事会只是不了解情况或者, 更糟糕的是, 有一种错误的安全感,因为管理报告关注的是成就而不是风险报告. 董事会和行政领导履行职责, 我代表组织, 在投资方面作出明智的决定, 战略方向等. 风险承受能力或偏好必须由这些利益相关者建立,以便根据他们的判断平衡资源和优先事项. 如果领导委员会缺乏对整个运营控制足迹中存在的残余风险的认识, 他们无法履行自己的职责,通过努力改善网络风险状况来引导组织.
组织间隙. 管理人员自然倾向于呈现与他们的职能职责相关的积极倾斜的观点,因此经常避免“困难”的对话. 结果是, 对于真正的风险领域,领导层的观点往往是扭曲的,或者充满了“盲点”. 对于从事定期和一致的风险评估的组织, 必须汇集这些努力的成果并与领导分享. 为表示剩余风险建立一个通用的词汇和结构同样重要,这样管理层和领导层之间的对话就可以在与转型成熟战略或目标一致的情况下,在一段时间内发生. 董事会必须定义一个共同的基线理解,并重新审视进展,以解决优先考虑的风险领域. 管理和领导之间改善的信任可以增强组织的努力,适当地将时间和资源集中在一致的目标和目的上. 这样做不仅能提高风险透明度,还能让领导层履行职责, 而且还将提高领导层的网络智商,以确保更好地理解管理层在保护组织关键信息资产方面面临的重大挑战.
真正的网络安全vs. 法规遵循需求.我们团队经历的另一个常见问题是,领导层经常将网络安全需求误解为一种合规清单. 在这种情况下, 控制的质量被扭曲成一个二元评估过程,这可能会产生一种错误的安全感,认为组织正在满足其目标. 网络安全问题要有深度和广度, 如何满足控制需求的质量和程度是一个要与风险影响和可能性一起考虑的范围. 在评估组织的安全风险状态时,这是一个需要考虑的重要概念, 但当它符合领导层的需要时,它有时会被摒弃,转而采用及格/不及格的观点. 虽然某些网络安全措施是法律要求的,并根据行业和足迹进行监管, 这是一个起点, 不是终点线. 不要为了在相关的合规性需求评估中获得及格分数,而让您的组织低估了网络安全剩余风险.
管理沟通技巧
成为专家. 记住:董事会成员和高管都有全职工作, 他们的网络安全知识可能有限,因为他们唯一接触的是白皮书或新闻文章.
拥抱受教育的时刻. 教育对于理解网络风险至关重要. 如果董事会成员想了解一个简单的话题,比如网络钓鱼, 利用这个机会来讨论相关的主题和策略,以减轻风险. 如果你看到不安全的行为,把这个机会当作一个教育的机会.
不要做守门人. 通过清晰简洁地陈述风险,架起技术和非技术对话的桥梁, 考虑事项和建议.
成为他们的新闻来源. 提高对当前威胁形势的认识, 沟通网络安全不断变化的本质,坦率地说明组织面临的风险和预防事件的步骤.
量化风险. 讨论什么都不做的代价,包括名誉和经济损失. 要清楚,接受现状是一种风险,并尽可能使用数据分析来帮助说明与准备不足相关的成本.
讨论预算. 就网络安全投资进行公开对话,并利用基准比较来进一步说明你的组织与同行之间的平等或差异.