网络尽职调查:董事会向首席信息安全官提出的主要问题
该系列由四部分构成,这是第三部分。本部分为 CISO 提供主动沟通策略指导,包括翻译关键 信息和使用执行语言表达您的操作的方法,这样您就可以继续将精力均衡分配给响应事件、活 动和威胁,以减轻对企业的影响。
如果发生网络攻击,您的董事会将向您寻求答案和见解。这个职位可能会略显孤单,但这并不意味着您是孤立无援 的。事实上,如果您能证明您的计划和行动得到行业最佳实践的支持并遵循所有适用的指导方针和要求,那么您就 掌握了主动权。更好的是,让第三方专家验证您所做的工作对您大有帮助,这有助于您向利益相关者保证您已完成 基础工作,并且完成了保护业务的预期工作。
一旦董事会了解了您的网络风险暴露情况和网络风险缓解措施,他们可能会询问,“我们进行了哪些网络安全尽职 调查和保证?"
要考虑的潜在问题:
- 我们是否对工作进行了任何独立验证?
- 由谁来执行验证?验证的性质和范围是什么(例如,威胁搜寻、危害评估等)?
- 如果我们的确需要在内部工作,如何确保方法的稳健性?
网络安全尽职调查:我们如何确保方法的正确性?
此时的关键是向董事会和其他主要利益相关者保证,之前进行的分析具有客观性。这种分析不仅应该证明漏洞或攻 击已经得到缓解,而且还应该证明操作环境不会对随后在现实中创建的后续漏洞利用程序开放。
频繁使用开源软件和跨越地理边界的企业正受到越来越严格的监管审查(例如 CCPA、GDPR 等)。对于这些企 业,建议通过另一组客观的视角来确认风险已得到缓解,并且环境不易受到后续攻击的影响。
有一些工具和服务(例如,违规模拟平台、独立专家)使企业能够复制漏洞并验证他们的环境不会受到特定漏洞的 攻击。这些工具可以通过展示额外的尽职调查和验证“健康证明”来帮助您向董事会提供额外的保证。
管理风险评估数据:许多问题亟待分析
能够利用可靠的数据源和洞察力来分析您的答案可以帮助您证明您所做之事的正确性。这一点极其重要,但却很难 做到。考虑一下像 危害评估这样简单的事情。如何表明您已经在企业的正确范围内进行了危害评估?您可能需要描 述确定资产处理优先级的方式,这可能基于某些关键级别,而这些关键级别又可能基于强大的业务影响分析和数据 分类方案——很容易分散注意力。
关键是要与您所遵循的决策层次结构有明确的联系,这样您就可以证明尽职调查,并提供证据说明您为什么选择走 上某个安全路线图的道路。例如,您需要说明您以某种方式确定任务范围的原因,以及实际完成了哪些工作。
查看本系列的第四部分,该部分着眼于如何回答“我们将如何回复监管或其他合规性询问?”这个问题。
观看此视频,了解有关如何与董事会讨论网络安全尽职调查的更多信息: