罗斯·杨(Ross Young)是Team8的驻场CISO，也是OWASP威胁与保障矩阵(TaSM)的创建者。在采访中，他分享了自己对于网络安全专业人员如何调整其演示内容以贴合董事会需求，并使安全策略与业务优先事项相一致的看法。

他还讨论了董事会对网络安全存在的常见误解，并就如何与高管建立持久关系提供了实用建议，以确保网络安全在持续的业务讨论中始终占据核心地位。

网络安全专业人员在调整其演示内容以贴合董事会优先事项时，应考虑哪些关键因素?

向董事会做汇报的网络安全领导者需要从业务增长和收入影响的角度来阐述网络安全计划，而不仅仅是风险缓解。董事会成员希望了解安全计划如何直接影响公司的底线，因此演示内容需要突出安全措施如何增强客户信心并推动销售完成。例如，在电子商务中，简化的多因素身份验证使交易更加顺畅，可以显著降低购物车放弃率并增加收入。

网络安全专业人员可以通过分享漏洞管理如何保护创收服务的具体例子来增强其论点。他们可以展示主动安全测试如何在销售高峰期保持关键客户面向应用程序的运行，从而在竞争对手遭遇中断时维持收入流。关于有效灾难恢复规划在困难时期保持业务运营的故事尤其能引起董事会成员的共鸣。

通过采用董事会所理解的业务价值和盈利能力语言，安全专业人员可以更有效地为其计划获得支持和资源。关键在于始终将安全计划与可衡量的业务成果联系起来。

董事会对网络安全有哪些常见误解，应如何解决?

首先，董事会经常认为仅靠足够的支出就能防止所有网络攻击，这根本不是事实，而且忽视了安全如何在所有三条防线中发挥作用。虽然投资很重要，但企业需要在运营管理(第一道防线)、风险管理职能(第二道防线)和内部审计(第三道防线)之间协调努力，以创建有效的安全态势。完全防止攻击是不可能的，因此韧性和响应能力与预防措施同样重要。

另一个误解是过分重视ISO 27001和SOC2 Type 2等认证。虽然这些认证满足第二道防线的合规要求，并有助于客户保证，但它们并不能自动转化为强大的安全。第一道防线，包括开发人员和运营人员，必须在日常工作中积极实施安全实践，无论认证状态如何。

最后，董事会经常误解安全责任。虽然安全团队通常与风险管理和合规职能一起在第二道防线中运作，但安全的主要责任始于第一道防线的运营团队，特别是负责保护其应用程序的开发人员。第三道防线(内部审计)提供独立保证，但不能替代强大的第一道防线安全实践。

网络安全领导者在向董事会做汇报时可能会面临哪些常见的反驳或挑战，应如何应对?

最困难的是透明地传达持续存在的风险，特别是在解决这些风险方面进展有限时。领导者可能会感受到压力而淡化这些持续存在的漏洞，但这样做可能会产生虚假的安全感。关键在于从业务影响的角度阐述这些持续风险，同时提出切实可行的、分阶段的风险降低方法。

另一个重大挑战是讨论可能给公司带来责任的风险。安全领导者必须在履行向董事会通报重大威胁的义务的同时，注意此类讨论可能如何影响法律责任。与法律顾问密切合作，适当构建这些对话，有助于在这个敏感领域进行导航。

也许最具挑战性的是董事会会议中为网络安全讨论分配的时间通常不足。鉴于需要涵盖复杂的技术主题和不断演变的威胁，典型短暂的时间段往往不足以进行有意义的对话。安全领导者可以通过提前准备简洁、以业务为重点的简报材料，并优先讨论最关键的问题来解决这一问题。当时间限制仍然存在时，他们应主张安排专门会议，以确保对网络安全事项进行适当的监督。

哪些指标或关键绩效指标(KPI)能够最有效地向非技术受众传达网络安全状况?

最成功的演示侧重于趋势数据，而不是技术细节，始终将指标与业务目标联系起来。选择少数几个高影响力的测量指标，以董事会成员自然理解的方式清晰展示进展和挑战。

在向非技术背景的董事会成员介绍网络安全状况时，应重点关注能够清晰展示业务影响和风险的指标。例如，使用可视化风险矩阵的风险降低指标提供了一种直观的方式来展示在减少威胁方面所取得的进展。安全投资和回报指标，特别是每起事件的成本和预算利用率，由于与财务决策相一致，因此引起了强烈共鸣。

事件检测与响应指标讲述了关于运营有效性的令人信服的故事，而第三方和供应链风险指标则突出了关键业务关系中的漏洞，这些可以有效地与威胁态势指标配对，以提供当前安全环境的背景信息。

哪些策略最能促进持续对话，而不是一次性演示?

通过高管风险委员会进行定期互动，为网络安全讨论提供了一个比孤立的董事会演示更有效的平台。与C级高管的月度会议使安全领导者能够持续了解不断演变的威胁和安全计划的进展。这种节奏使讨论更加细致入微，并帮助高管随着时间的推移对网络安全挑战形成更深入的理解。

然而，由于并非所有企业都设有正式的风险委员会，安全领导者可能需要创建替代渠道以促进持续对话，这可能包括季度业务对齐会议、将定期安全更新纳入现有高管会议，或与关键利益相关者的非正式简报。关键在于建立一种可预测的沟通节奏，使网络安全始终保持在高管议程上，而不是将其视为周期性的合规活动。

通过保持定期的接触点，安全领导者可以与高管建立更牢固的关系，并确保网络安全始终是战略业务讨论的一部分，而不是一年一度的演示活动。