迎合董事会：如何成功说服领导层重视网络安全

关键要点

• 88%的董事会将网络安全事件视为商业风险而非仅仅是技术难题；
• 网络攻击频发，特别是针对关键基础设施和敏感信息的攻击日益严重；
• 强调安全预算和深入防御的重要性，以缩小攻击面和提高响应速度；
• 准备应对网络攻击的演练，准备好应对董事会的挑战；
• 采用诸如NIST网络安全框架等基准来推动内部安全战略。

根据，88%的董事会认为网络安全事件是商业风险，而不仅仅是技术问题，这一比例较五年前的58%大幅上升。组织在预防安全事件方面越来越主动，而不是仅仅在问题出现时反应。随着这种主动的态度，企业也在寻求更大的预算和更强大的应用程序扫描工具，以便能够在网络犯罪分子之前保持一步领先。

网络攻击的发生率让人担忧，威胁行为者针对关键基础设施和敏感信息，寻求任何可能的渗透点。根据Verizon的2022年的研究，Web应用程序成为攻击的首要途径，近70%的事件中个人数据或凭证遭到泄露。API攻击也在上升——SaltSecurity的一项调查显示，2021年至2022年间攻击流量增长了，62%的受访者表示API安全问题是延缓新应用发布的原因之一。

由于安全漏洞和网络攻击可能对财务、声誉和运营产生深远影响，安全领导者能够为获得更多预算和深度防御提出合理的案例变得日益重要。然而，如何在董事会中提出有效的论点并非易事。在与董事会讨论网络安全及其技术和资源需求时，安全和IT领导者必须与高管和董事会合作，了解利益，概述潜在的投资回报，并达成符合他们商业需求的战略。

以下是专家们对如何让董事会支持网络安全的看法。

让董事会明白网络安全——尤其是Web应用安全(AppSec)——不仅仅是保护数据，这一点极为重要。拥有明确的安全战略所带来的商业利益有哪些？

Frank Catucci：
明确的战略还涉及到人员和效率，因此带来固有的安全成本效益。人员和流程不仅有助于提升公司及其产品线的声誉，降低被利用的风险和事件后果的扩大。如果我们能够更早发现、修复和缓解风险，我们不仅可以减少成本，还能降低计划外的工作和修复，提高现有团队的效率和效能。

Sonali Shah：
深入了解和清晰识别风险状况不仅能提高事件响应时间，还能实现安全地共享董事会所需的重要业务信息。在2022年3月，美国证券交易委员会(SEC)提出了新规则，标题为“网络安全风险管理、战略、治理与事件披露”。在这一提案中，SEC强调了一些有助于改善网络安全风险和治理的披露要素，包括组织董事会的网络安全专业知识及其对风险的监督程度。

该提案还呼吁采用Inline eXtensible Business Reporting Language（InlineXBRL），旨在自动化商业信息需求，帮助更好地告知投资者有关风险管理的信息，提高对网络威胁的响应速度。遵循这样的指导方针使识别安全风险及解决这些风险所带来的实质商业好处变得更简单。

增加网络安全预算有助于强化深度防御，缩小攻击面，并提高响应速度。哪些应用程序扫描工具的特性可以帮助说服董事会？

Frank Catucci：
关键工具和流程的改进必须围绕以开发为中心的战略展开。为了充分服务于现代敏捷开发和发布流程，我们需要尽可能地自动化测试和工作流。这一整体战略将对现代云原生和敏捷环境产生必要的影响。然而，我们不能以牺牲准确性为代价，必须