感知的差距：董事会与首席信息安全官（CISO）之间的网络风险评估

关键要点

近日，网络安全公司Proofpoint与麻省理工学院斯隆管理学院发布的一项新研究显示，全球范围内，董事会与首席信息安全官（CISO）在评估网络风险方面存在脱节。报告指出，董事会成员普遍对企业可能遭遇的重大网络攻击表示更大的担忧，65%的董事会成员认为存在风险，而只有48%的CISO持相同观点。

Proofpoint的全球首席信息安全官Lucia Milică向SCMedia表示，受疫情影响，企业的数字化转型加速，从而提升了网络安全在董事会中的重要性，形成了暂时和永久的影响。

“在疫情期间，董事会需要专注于运营，以确保企业的生存和平稳运作。随着情况逐渐稳定，他们有了更多的机会去关注长期风险，包括网络威胁，并采取相应的控制措施，”Milică说道。“而CISO在适应远程工作环境后的这一年里，逐渐对潜在威胁产生了适度的舒适感。”

报告还显示，董事会成员与CISO对企业面临的主要安全威胁达成共识，包括、和，但在网络事件的后果上观点有所不同。

董事会更关心的是内部数据泄露、声誉损害和收入损失，这表明他们对网络攻击影响底线的关注程度极高。相较之下，CISO则更担忧重大停业、运营中断及对公司估值的影响。此外，CISO对员工和内部人员窃取或泄露系统与数据的潜在风险非常关注，将其视为首要的网络安全隐患，但这一担忧在董事会中并没有受到同样重视。

报告指出：“这种意见的差异源于各自角色在组织中的不同视角。CISO主要将自身角色视为防止攻击干扰业务，并使企业在遭遇网络攻击时能够继续正常运作。另一方面，董事会成员代表股东，他们最关心的是保护投资价值，当组织遭受声誉损损失或收入损失时，这个值会下降。”

为了缩小董事会与CISO之间的差距，有效的。Milică提到，随着美国证券交易委员会提出了一系列关于，越来越多的组织开始在董事会中任命CISO，这一趋势是积极的。这些规则包括重大网络安全事件，并详细说明这些公司在董事会中拥有何种网络安全专业知识。

虽然引入网络安全专业知识可以帮助组织在相关领域作出决策，但Milică强调，CISO与董事会成员沟通时应避免使用行话和技术术语。相反，他们应通过分析威胁行为者对企业的影响，以及利用勒索软件攻击的潜在成本等现实数据，以货币价值的方式传达风险。

网络安全工作室总监Betsy Wille指出，这些风险正日益融入政府和监管机构的更大