如何有效回答“我们是否100%安全？”的问题

关键要点

• CIO 和 CISO 需要能够实事求是地回答C-suite关于网络安全的问题。
• 通过教育C-suite，强调网络安全是一个不断演变的过程，而非终点。
• 提出适量的关键指标，而不是过于复杂的信息。
• 与客户和商业伙伴保持积极沟通，强调安全意识培训的重要性。

在当今网络安全至关重要的环境中，CIO和CISO不可避免地会面临C-
suite的一个核心问题：“我们是否100%安全？”这种问题无疑是对安全领导者的挑战，如何以务实、商业导向的方式来回答呢？以下是回答此重要问题的一些建议与禁忌：

建议：

• 教育C-suite ：与其简单地说“我们100%安全”，不如引入“网络安全风险管理”这一概念。让C-suite了解，网络威胁环境是不断演变的，将网络风险管理视作一个旅程而非目的地。重点在于公司所能接受的风险范围，这取决于公司规模、预算和资源等多种限制。

• 控制演示文稿的内容 ：向董事会或领导团队汇报时，确保幻灯片不超过五张。使用潜在安全漏洞对业务的影响来说明风险，并强调重要的商业系统，以及在当前和未来威胁环境中对业务运营的影响。

• 强调风险管理指标 ：解释说“我们100%安全”并不能有效衡量网络风险，同时强调网络成熟度和风险管理是组织网络安全和风险项目的关键绩效指标（KPIs）。作为安全领导者，从一开始就必须向他们阐明这点。

• 使用安全合规认证作为参考 ：把安全和合规认证作为补充的衡量标准，表明这些是绝对必要的，但仅仅构成安全的基础线。再次强调商业关键资产的网络成熟度和风险管理，以及对业务的潜在影响。

• 运用工具和技术 ：使用工具和技术来说明关键资产的网络成熟度和风险管理，并解释为何组织需要投资于能够将网络成熟度与安全风险管理指标结合的工具，这些要与更广泛的企业风险管理指标相结合。董事会和首席执行官对商业风险非常熟悉，会理解这种方法。

禁忌：

• 绝不要说 ：“我们100%安全。”

• 适量展示指标 ：在面向董事会和首席执行官的演示中，展示有限的关键指标，不要用过多的指标误导他们。

• 谨慎使用合规认证 ：不要将行业的安全和合规认证用来说明组织是100%安全的，即使这些可能会虚假地增强团队的自信心。应将这些认证视为项目的基础。

• 避免使用预算支出来证明安全性 ：不要利用大量的工具和技术，试图以资金的投入来证明“100%安全”的叙述。巨额预算并不意味着绝对安全。

安全团队还需要考虑如何回答来自商业伙伴和客户的类似问题。与此同时，以下是一些重要的要点：

• 与CEO及董事会保持积极联系 ：从第一次会议开始，每次会议都教育他们如何衡量网络风险管理的表现。

• 对客户和商业伙伴采取主动措施 ：在与客户、合作伙伴和内部外部利益相关者沟通时，强调相同的观点极其重要。

• 重视安全意识培训项目 ：从高层管理向下普及网络风险管理的意义和要点，让整个组织都能了解。

• 利用行业认可的工具和技术 ：解释如何使用新技术来展示网络风险管理和网络成熟度指标，特别是与组织的关键业务资产相关的内容。

网络安全领导者不仅需要展示“光鲜”的幻灯片，还需有效地与所有相关利益相关者沟通为何网络风险管理项目的表现至关重要。同时，努力争取必要的预算和资源，以便实现尽可能接近“100%安全”的目标。

Lokesh Yamasani，信息安全总监；Shamyo (Sham) Chatterjee，Linksys首席信息官