人员和技术向董事会成员演示安全性和风险

Executive Summary

您能够像在安全环境中一样自如演示吗?如何最有效地利用您拥有的有限时间,在白板上说明风险和需求,以及在这两个方面要采取的措施。

Executive Summary

您能够像在安全环境中一样自如演示吗?如何最有效地利用您拥有的有限时间,在白板上说明风险和需求,以及在这两个方面要采取的措施。

Related

客户抛弃您应用的 10 条原因

现在时间到了,你必须向董事会报告企业的安全现状。这个演示至关重要:公司的安全情况、声誉和财务状况全部取决于你。董事会成员需要了解你面临的业务风险以及你是如何计划规避风险的,但是他们的时间和注意力有限,因此演示要简洁扼要。

请遵循下列六个步骤实现您的目标。

  1. 网络威胁真实存在 — 只讲事实

他们已经听过这些数字,每年由于网络犯罪造成的损失多达 5,740 亿美元数据泄露造成的平均损失是 4 亿美元。哈欠连声,他们对这些信息充耳不闻。董事会成员对这些数字没有任何反应,他们需要了解公司在线业务的一般风险,而不是所处行业面临的威胁或是公司的业务情况。如果企业最大的风险与缺少控制或流程不合理有关,他们需要知道这些。最重要的是,他们需要知道你正在采取的解决方案,因此不要向董事会介绍你尚未想出解决办法的问题。

讲一个与安全漏洞有关的引人入胜的故事,最好是行业内的故事。列举自己公司中的示例,说明关键信息资产,例如知识产权、敏感客户数据等,也可以绘制一幅图,在上面展示如果这些资产受到影响会发生什么以及代价是什么。

  1. 提供具有说服力的指标

如果你认为在安全控制方面存在缺陷且正在努力寻找资源来修复,那么向他们提供证据,证明企业不断受到攻击并且网络不断被探查。清晰地指出,坏人迟早会成功。循循善诱,出其不意。

  1. 发布企业安全规范,并获得董事会的支持

人为错误占网络漏洞的 56%。一家安全的企业应该让每个员工都了解威胁并让其各尽其责来努力降低风险。这首先需要严格和反复的培训,可能甚至要遵守像 ISO 27001 一样的标准。

  1. 让董事会相信企业需要突发事件响应的能力

鼓励董事会面对以下事实:当今所有企业被攻击的可能性非常高,所遭受损失的大小取决于应对的速度和效率,因此为什么不先做好充分准备呢?大多数公司不具备确保有效突发事件响应 (IR) 的技能,这需要技术人员、取证人员、法务人员和公关人员共克时艰。最好的选择:与具有专门知识的第三方合作,一家出色的 IR 公司可为你提供鼎力支持。

  1. 讨论网络保险

网络保险是您安全战略不可缺少的一部分。然而只有 19% 的公司拥有网络保险。大多数公司的保额严重不足,仅覆盖典型攻击总损失的 12%。网络保险是世界上增长最快的保险领域,据预计,到 2020 年该领域的年保险费总额将从如今的 25 亿美元增长到 75 亿美元。你可以给董事会算算这笔账,计算在没有金融灾难的情况下你的企业能够为防范攻击投入多少保费。选择一个你能接受的风险水平,然后为更高风险投保。

73%

在过去一年里,73% 的公司至少一次由于安全漏洞而遭受了损失

  1. 让董事会支持你的方案,即便还未获得相应预算

经过一番努力,你获得了资金来支持你的一些工作。如果还有需要解决的风险但却没有获得相关预算,你需要告知董事会成员,让他们决定是接受风险还是采取相应的解决方案。没有什么比“董事会”的要求更能够助你完成一些工作了。

结语

当你真正提出要求时,切记要贪婪一点。如果你没有获得防御严重威胁所需的支持,那么想一想自己的名誉和事业吧。如果董事会不明白你所陈述的危险,那么是时候考虑其他的选择了。

这真的很重要。

您可能还会喜欢