网络安全的核心在于对风险的良好管理。CISOs首席信息安全官面临重大挑战,需要认真考虑组织在遭遇技术失误或市值损失时的风险容忍度。这种容忍度不仅关乎技术层面,更涉及对企业整体道德责任的理解。在风险管理过程中,组织的风险承受能力和网络安全策略的对齐至关重要。
来源:Michael Shannon / Unsplash
CISOs需要平衡技术控制与业务需求,而这需要他们具备适应不断变化风险环境的能力。正如CrowdStrike事故所示,即使是准备充分的系统也可能会遇到意外问题。这强调了网络安全策略在制定时必须考虑组织的整体风险容忍度。
对于许多企业而言,董事会的方向至关重要,但并非所有企业都会提供这样的方向。据IANS 2024 CISO状态基准报告显示,85的CISOs认为董事会应该在组织风险容忍度方面提供清晰的指导,而接受到这类指导的仅有36。尽管CISOs与董事会之间的定期沟通能够提升对公司风险状况和安全要求的信心。
“与董事会和高管领导有较多接触和良好关系的人,能更好地掌握组织在风险层面的状况以及构建良好的安全项目所需的事项,”IANS教员Wolfgang Goerlich表示。
当CISOs未能参与董事会的会议时,他们面临了相反的局面。“我们越远离高管讨论,风险容忍度越模糊,针对商业的治疗计划也就越不明确,”Goerlich说道。
在缺乏定期董事会参与的情况下,CISOs需要采用不同的策略,主动引导讨论,设定参数并反馈其项目。Goerlich认为同侪之间可以提供重要的风险容忍度信号。他指出,“我认为你们主要的目标不应是‘如何获取更多的董事会时间?’而应是‘如何更好地理解我与同事之间的关系,以确保我提出的风险容忍度决策和风险情景能够引起共鸣?’”
关键问题在于“我们愿意承担多少风险?”答案在于量化风险容忍度,并将其与风险偏好区分开来。Goerlich强调:“风险偏好可能变化多端,在董事会成员间差异很大,理解其变化往往更多依赖于CISO的直觉。”
另一方面,风险容忍度需要围绕特定目标或风险场景展开有指导性的讨论。在这种讨论中,CISO可以形成假设。“如果你能够清晰地阐述风险,那就可以进行很好的对话,使大家在关于风险的认识上达成一致。”
建议CISOs考虑事故的潜在组织影响和公众的广泛愤怒,避免试图让董事会成员在技术细节上提供指导。“除非他们是具有技术背景的董事会成员,否则他们在看待这些问题时更多地依赖我们这些CISOs的理解和控制能力,”Goerlich说。
为了引导风险对话,并努力
快喵加速器npv
