向董事会成员介绍安全性和风险
执行摘要
董事会的时间和注意力是有限的。 但您公司的安全、声誉和财务健康状况都取决于董事会成员对您所面临的业务风险的了解程度,以及您计划如何降低这些风险。 保持简短并使其有意义。 本文研究 IT 和安全预算,并解释如何平衡风险安全状况。
5 分钟。 读
就是那个时候了。 你必须向董事会报告企业安全状况。 演示至关重要:您公司的安全、声誉和财务健康都取决于您。 您的董事会成员需要了解您所面临的业务风险以及您计划如何降低这些风险。 但他们的时间和注意力是有限的。 保持简短并使其有意义。
按照以下六个步骤来实现您的目标。
1. 网络威胁确实存在——坚持事实
他们已经听说了这些数字。 高达5750亿美元 每年因网络犯罪而遭受损失。 数据泄露造成的损失可能超过 4 亿美元。 此类信息没有被人们重视。 董事会成员都麻木了。 但他们需要了解在线开展业务的一般风险(这些风险是地方性的)以及您的行业和您的企业所面临的威胁。 如果贵组织最大的风险与缺乏控制或流程不充分有关,他们需要知道这一点。 最重要的是,他们需要知道你正在做什么。 不要带着你还没有找到解决办法的问题去见董事会。
如果您没有获得所需的支持,请考虑您自己的声誉和事业。
讲述一个有关安全漏洞的引人入胜的故事,最好是与您的行业相关的。 举出你自己公司的例子。 识别关键信息资产(知识产权、敏感客户数据)并描述如果它们被泄露将会发生什么以及会造成何种损失。
2. 提供令人信服的指标
如果您在安全控制方面存在漏洞,并且难以获取资源来修复,请向他们提供证据,证明您持续受到攻击并且您的网络不断受到探测。 要明确一点,坏人迟早会成功。 教育他们。 让他们惊喜。
- 73% 的公司在过去一年中至少遭遇过一次安全漏洞
- 约三分之一遭受网络钓鱼攻击的员工会打开欺诈性电子邮件
- 超过十分之一的人上钩了——而且只需要一个
- 从黑客点击发送到你的系统被入侵,不到两分钟的时间
- 黑客在被发现之前,平均至少会在组织内潜伏四个月
- Web 应用程序是漏洞的首要入口点
3. 获得他们的支持,树立安全文化
人为错误占网络入侵事件的58% 。 安全的业务是指每个人都接受有关威胁的教育并尽自己的一份力量来降低风险的业务。 这始于严格且反复的培训,甚至可能要遵守ISO 27001这样的标准。
4. 说服他们需要事件响应帮助
鼓励董事会面对现实:当今所有组织都面临着被入侵的可能性。 您遭受的损失取决于您做出反应的速度和效果,所以为什么不做好准备呢? 大多数公司不具备有效的事件响应 (IR) 技能。 您需要技术、法医、法律和公共关系的支持来度过创伤。 您最好的选择:具有专业知识的第三方。 一家好的 IR 公司会为您提供支持。
5. 讨论网络保险
网络保险是您的安全策略不可或缺的一部分。 然而,只有 19% 的公司拥有网络保险。 而且大多数公司的保险金额严重不足,只有典型违约事件总成本的 12% 能够得到赔付。 网络保险是全球增长最快的保险,预计到 2020 年,其年度保费将从目前的25 亿美元增长 300% 。 为你的董事会做计算。 计算一下您的企业在不遭受财务灾难的情况下能够承受多少违约损失。 选择您可以承受的风险级别,并为其余部分投保。
6. 让他们支持那些你未获得预算批准的努力
您已完成作业并已为您的部分工作筹集到资金。 如果您有需要解决的风险领域而您没有预算来解决,董事会成员需要了解这一点并接受风险或支持解决方案。 没有比说“董事会”要求做这件事更好的方法来完成某件事了。
综上所述
当你进行这个练习时,要自私一点。 如果您没有获得抵御生存威胁所需的支持,请考虑您自己的声誉和事业。 如果您的董事会不理解,那么也许是时候考虑您的选择了。
它非常重要。
73%
73% 的公司在过去一年中至少遭遇过一次安全漏洞。
2016 年 10 月,Ryan Kearny 被任命为 F5 Networks 产品开发执行副总裁兼首席技术官。 他负责监督公司的技术路线图并领导 F5 的工程团队。 科尔尼于 1998 年加入该公司,于 2004 年 5 月被任命为产品开发副总裁,并于 2012 年 1 月被任命为产品开发高级副总裁。 他拥有华盛顿大学电气工程学士学位。