董事会上的网络安全:CISO角色迈向新时代
2015年某天上午,Joseph Carson开始向公司董事会阐述为什么网络安全部门需要增加预算。这位部门负责人解释道,公司特别容易受到勒索软件和供应链攻击的威胁。他表示,如果自己领导下的部门没有获得所需的资金,那么公司的数据就有可能面临多次泄露的风险,随之而来的公众监督和法律审查将会导致公司股票暴跌,在座的各位都有可能失业。
董事会似乎确实受到了惊吓。“首席执行官(CEO)和首席财务官(CFO)事后找了我,并向我表示感谢。”Carson回忆道。然后他们否决了Carson的预算申请。“那个时候,我就意识到,我们需要开始改变了。”
Gartner调研发现,董事会将网络安全视为第二大风险源
如今,七年过去了,很难想象同样的场景还会出现在哪家公司的董事会会议室中。分析公司Gartner的调研结果显示,网络攻击之于大型企业已是司空见惯,董事会现在将网络安全视为仅次于监管合规的第二大风险来源。
尽管如此,大多数公司董事会都缺乏网络安全专业知识。去年,猎头公司Heidrick & Struggles的一项调查中,仅12%的受访首席信息安全官(CISO)在公司董事会中占有一席之地。
仅12%的CISO在公司董事会占有一席之地
2021年全球349位CISO董事会经历调查结果
这种情况可能即将迎来改变。今年3月,美国证券交易委员会(SEC)公布了一项提案,一旦获批,执行董事会就得负起监管公司网络安全的法律责任了。与此同时,在英国,政府已明确计划要求上市公司发布“韧性声明”,其中包含有关网络安全风险的具体信息。
Gartner预测,随着网络安全风险意识的不断加深,到2025年,40%的董事会将拥有“适格董事会成员监督下的专职网络安全委员会”,而在2020年这一比例还不到10%。CISO在公司董事会上占有一席之地的新气象很快将会蔚然成风。
然而,如何成功实施的问题仍然存在。毕竟,网络安全是门技术性很强的学科,很多人难以掌握。现任公用事业咨询公司Delinea首席安全科学家的Carson解释道,让CISO加入董事会可不像教公司职员一两条基本安全知识那么简单。
相反,这事儿涉及触发企业自上而下的文化转型,转向自适应的网络安全。并且,Carson称:“我的工作就是维护业务韧性,而网络安全是我的技能组合。”
网络安全人人有责
越来越多的企业认同这一点。Gartner针对企业董事的调查发现,88%的受访者认为网络安全不仅仅是IT部门要解决的技术问题,也是事关业务运营的基本风险。考虑到近期私营企业遭遇的黑客攻击事件,这种认知毫不令人意外。IBM的企业数据泄露成本调研结果则显示,83%的受访公司在2021年遭遇了数据泄露,平均损失为435万美元,创了此项调研开展17年来的历史新高。
保证CISO在董事会中占有一席之地是确保公司牢牢掌控如何处理此类业务风险的一个方面。安全公司Proofpoint常驻首席信息安全官Andrew Rose表示,尽管如此,CISO在传达自己的担忧时应该小心谨慎。“‘天要塌了’式的叙述可以用一两次,但在那之后,董事会会变得习以为常。”
Carson认为,应该通过积极的肯定来说服董事会优先考虑网络安全,而且,理想情况下,专注在如何加强公司的防御上会有助于其长期表现。“你需要向他们展示这将如何帮助企业取得成功,如何帮助员工更好地完成工作,为股东提供价值,以及回报投资。”他说。
随着时间的推移,加入董事会可能会使CISO远离网络安全的技术细节方面。安全公司eSentir首席信息安全官Greg Crowley阐述道:“这是最理想的状态。他们不应该被看作是负责打补丁的人、全部风险的所有者,或者防止数据泄露的家伙。CISO应被视为领导者和高管,并且与其他高管一样,统管全局。”
这一角色重心的变化非常明显,以至于在一些公司中,CISO已演变为“BISO”,即业务信息安全官。“他们更符合业务语言、业务结构和组织结构,尤其是从董事会的角度来看。”Carson表示。
甲骨文和毕马威最近发布的威胁报告显示,超过三分之一的企业启用BISO作为业务线(LOB)领导,负责与CISO和CIO合作。还有迹象表明,此类任命开始产生将网络安全专家纳入董事所想要实现的那种自上而下的文化影响——53%的受访企业正聘用或计划聘任BISO,希望其与LOB经理合作,将网络安全融入业务流程。
效果如何?
考虑到当前困扰IT行业的招聘危机,以及仅过去一年里私营企业遭遇的勒索软件攻击就翻了一番的情况,将网络安全融入业务流程的重要性尤为凸显。而且,赎金要求也在持续上涨,CyberEdge的一份报告解释道。屈从于赎金支付要求的企业比例也从2019年的45%上升到了2022年创纪录的63%。
因此,我们必须了解IT团队真正要保护的是什么。“这是个社会保护问题,而不仅仅是设备防护问题,因为我们开始将这些设备用于所有事情。”Carson称,“通信、银行业务、文件共享等等。这都成了一种与业务重叠的生活方式,我们必须评估其影响。”
理想情况下,成功的董事会级别CISO不仅要确保他的高管同事注意到这一信息,而且要确保公司的每个部门都能注意到。
这事儿说起来容易做起来难。虽然企业可能需要网络安全管道来实现全面安全,但却缺乏充分支持此类创新的框架。在最近的一篇博客文章中,transpotrt Passport首席信息安全官Mike Privette警告称,BISO角色可创造出一种环境,令“集中式安全功能绕过BISO或成为其替罪羊,从而导致高管做出种种尝试来展示其价值,但往往都失败了”。
Carson对此表示赞同。“很遗憾,有时企业的CISO未必会做出改变。有时候他们是替罪羊,有时候他们是条例性检查项目。”
要让CISO的工作富有成效,他们必须放大视野,从真正的全局角度审视网络安全,与各地政府合作,从而确保自己在企业内部所做的事情对广大公众有利。简而言之,Carson解释道,引发公司内部关于如何处理网络安全的文化变革,只不过是董事会级CISO工作的开始,因为最终,落实安全措施不仅仅是为了保护你所在的企业”。
