缓解网络风险:董事会向首席信息安全官提出的主要问题
这是一个由四部分组成的系列的第二部分,这部分为 CISO 提供了主动沟通策略的指导,包括 翻译关键信息和用执行语言表达您的行动的方法,这样您就可以继续将主要精力均衡地安排给 事件、活动和威胁的响应,从而减轻对企业影响。
当发生网络安全事件时,您的董事会想知道是否制定了计划。他们希望确保您的企业已准备好快速、有效且彻底地 处理事件,以最大程度地降低事件对业务的影响。因此,在就网络风险暴露进行沟通之后,您可能需要回答的下一 个紧迫的问题将是您的网络风险缓解计划。您需要准备好回答以下问题:“情况是否已得到控制,我们是否已对其 进行充分处理?”
需要考虑的潜在问题:
- 我们的响应计划是什么?
- 我们如何划分工作和资源分配的优先级?
- 还有什么需要做的?
- 有什么惊喜和/或经验教训吗?
网络风险缓解:我们做到了吗?
您的高管和董事会真正想知道的是,情况是否已得到控制,以及您可以提供哪些保证以确保风险已得到妥善处理。
为了在回答董事会(或未来审核委员会)的此类问题时拥有可靠立场,您需要更多文档的支持!要捕获所有过程、 沟通和采取的步骤,以解决和验证风险是否已得到缓解,可能需要所有的事件响应、补丁管理和零日漏洞计划。
本文档应该是全面的,不仅包括计划,还包括:
- 您执行的紧急更改流程
- 涉及的人员
- 打补丁和分段详细信息(对系统进行优先级排序和打补丁/分段的方式及时间)
- 如何将系统与关键流程相关联
- 如何划分流程的层次
- 如何更改和部署实施规则
目标是准确显示完成的工作、完成时间和方式,这样您就可以表现出应有的谨慎,并报告您的董事会以及监管机构 和审核人员希望了解的要素。
确保高管知悉:恢复是一个过程,不能一蹴而就
如果董事会询问“你们做到了吗?情况是否得到了控制?你的工作完成了吗?”,这时将恢复视作一个过程,而不 是某个时间点的体验,这很重要。恢复是一个持续的过程,是一个关于回到更强大且更快速状态的过程。
这意味着您需要坐下来并召开总结会议,这个会议可帮助您吸取经验教训,找出可以在哪些方面节省时间,或采用 不同的方法来完成或优化。在分秒必争的情况下,我们讨论过的文档对于确保不遗漏任何内容、细节和步骤至关重 要。但是,识别并处理可对您的运营效率产生重大影响的细节问题同样重要。
例如,当您经历了人生中压力最大的一天之后,拥有在特定情况下易于遵守的调用树,以及告知您关键资产位于何 处的业务影响报告可以为您节省大量时间和精力。事情发生后我们总会有所领悟,因此花些时间弄清楚有用的是什 么,并向董事会说明为了恢复更强大的状态,您都在做些什么。
您可以将董事会的问题答案设计为一段旅程,以此提醒他们,安全并非一劳永逸之事,也永远不会完美无瑕,但它 可以不断发展强大且效果越来越好。“台上一分钟,台下十年功”,这句话需要牢记在心。因此,除了仔细地记录 一切,不要忘记反复演练,实践出真知。让董事会知道您是如何利用每一个机会来准备和增强自身的能力,以及为 确保下一次做得更好您都做了哪些努力(因为众所周知,总会有下一次机会)。
查看该系列的第三部分,这部分着眼于介绍“我们做了哪些尽职调查和保证?”问题的回答方式
观看此视频,详细了解如何与您的董事会讨论缓解网络风险: