網絡安全是董事會最關心的問題之一。實際上，在全美企業董事協會（National Association of Corporate Directors）調查的近500名企業領導中，有42%的人將網絡安全風險列為他們面臨的五大最緊迫問題之一，僅次於監管環境的變化和經濟發展減速。

因此，安全管理人員頻繁向董事會匯報他們面臨的風險以及減輕風險的策略。然而，很多董事會成員發現，他們沒有從首席信息安全官那裡獲得所需的信息。

管理諮詢公司麥肯錫(McKinsey & Co.)高級合夥人David Chinn表示：董事會成員正在討論網絡風險，而風險和審計委員會正花費大量時間盤問首席信息安全官，他們普遍對這種情況感到不滿。

首席信息安全官在向董事會傳達網絡安全風險時，應該遵循一些最優做法並避免常見錯誤。

1. 充分做好準備工作

高官們應該在進行匯報前幾周，將準備好的書面報告上交給董事會成員。一些人認為提前做好準備工作就足夠了，但有經驗的高管和領導顧問表示，首席信息安全官們（特別是是那些在董事會開始之前時間有限的人）需要更專注於準備工作，甚至去接受特定的培訓。

Hayslip在向新董事會進行第一次匯報之前，請求他的首席財務官幫自己聯系一位願意幫助他準備這次匯報的高管。他表示：如果我要向董事會做報告，而我從來沒有和他們交談過，我可不想走進冰冷的董事會。我不知道他們會問什麼樣的問題，我不知道他們想要了解什麼。故此我和同事進行了溝通，詢問其他已經在董事會面前進行匯報並得到反饋的其他高官們——都有誰在那裡，他們是什麼樣人，他們會問什麼樣的問題——然後我就能知道我將要向誰進行報告，他們希望怎樣的數據呈現方式了。

2. 提供一份評估報告

Hayslip表示準備工作以及他後來向董事會進行報告的經歷，讓他明白了一些董事們想知道的內容，即對公司網絡安全狀況的一份評估以及需要如何進行改進。

3. 保持透明性

專家表示，評估報告不應該模糊企業面臨的風險，因此首席信息安全官應該提前，並以直接，易懂的方式提供相關信息。

Chinn表示：很多組織機構都有一個威脅情報部門，他們會為董事會收集這些信息，讓董事會成員覺得他們已經瞭解相關信息了。董事會成員想知道企業風險、這種風險帶來的商業影響、他們的投資在多大程度已經轉化為控制，以及這些投資是否有效降低了風險。

他舉了一個很好的例子，來說明如何提供這樣的信息：在一個組織機構中，首席信息安全官開發了一個自助應用程序，董事會成員可以根據需要使用該應用程序訪問相關信息。

4. 準備應對（棘手的）問題

會議室可不是讓人驚喜的地方。因此，IT治理協會ISACA的董事會主席Rob Clyde建議，首席信息安全官們應該預測董事會成員可能提出的問題——尤其是那些最難回答的問題，比如 “我們的安全性有多好?” 和 “我們安全嗎?”。

Clyde表示，首席信息安全官們通常很難恰如其分地回答這種類型的問題，因此在匆忙回答間往往會給出不充分或令人困惑的答案。

他建議首席信息安全官們提前考慮，並制定應對措施。他還建議首席信息安全官使用網絡安全成熟度模型，比如ISACA的CMMI研究所提供的模型，對這些棘手的問題給出清晰、有意義的回答。

同時，他表示首席信息安全官不應該讓董事會、其他高管和首席執行長對此類問題的回答感到意外。Clyse表示，首席信息安全官應該與他們的首席執行官分享他們對這些問題的回答；事實上，首席信息安全官應該確保首席執行官瞭解他們將要報告的任何內容，這樣他們就不會將首席執行官置於任何尷尬的境地。

5. 誠實面對劣勢

與此相關的是，經驗豐富的高管們表示，在回答有關組織風險和網絡安全形勢的問題時，首席信息安全官應該實事求是，即使他們擔心自己的回答可能會讓自己看起來效率低下。Clyde表示：有些董事會問，“我們是100%安全的嗎？”，你絕不應該給出肯定的答案，或者提供毫無根據的保證，給出模糊的答案。

6. 但也不要嚇到董事會

首席信息安全官看到網絡安全攻擊的規模不斷增加，且日益復雜，因此他們在向董事會解釋應對這些威脅所需的資源時，與董事會共享這些信息也就不足為奇了。你有一些首席信息安全官進入會議室，就會列出的所有正在發生的糟糕的事情，搞的好像天要塌下來一樣，但這種恐懼、不確定和懷疑的氣氛對董事會不起作用，首席信息安全官可能僥幸脫身，但如果再這樣做，他只會惹怒董事會。

他表示，董事會當然需要數據，但他們需要能夠讓他們做出明智的決定的信息，以決定把安全投資放在什麼地方，最大限度地降低風險。

7. 獲得一位支持者

James Carder，安全解決方案公司LogRhythm的首席信息安全官，同一名擁有技術背景的董事會成員建立了聯系，並找他作為導師，幫助他準備董事會會議、審查提交給董事會的材料，並代表他支持安全策略。

他建議其他首席信息安全官也這麼做。在董事會裏尋找一位支持者。他們會在你將材料提交給董事會之前給你反饋，（建議）哪些話是重要的、哪些話會引起其他成員的共鳴。而且，當你不在董事會的時候，這位支持者可以與董事會就安全問題進行對話，推動你想要的改變。

8. 開門見山

首席信息安全官們已經習慣了在會議上做報告，他們通常在談及主旨前，會進行一些鋪墊，但這種方法不適用於那些珍惜時間的董事會成員。

Clyde表示，不要保留重點，要從一開始就說到點子上。董事會想提前知道你為乜在那裡。如果董事會需要採取行動——例如，他們需要考慮購買網絡安全保險，或者制定一項政策，決定在發生勒索病毒攻擊時，是否支付贖金——那麼首先要和董事會提前確認這些。

他表示，首席信息安全官可以在時間允許的情況下提供輔助信息，意識到董事會成員可以在會議前提交的書面材料中找到任何必要的信息。

9. 省略技術環節

Carder談到，他曾經把自己的安全工作過多地傳達給董事會。當董事會成員不得不多次打斷他的陳述，詢問他使用的術語和他所描述的概念的時候，他知道自己犯了一個錯誤。我以為他們知道某些安全技術術語，然後我意識到，我過度描述了所有這些細節，而不是簡明扼要地講述風險。

Carder現在更有意識的從他的匯報中省略復雜的技術內容；沒有關於最新的漏洞或最新的數據丟失防禦技術的詳細信息，也沒有SIEM供應商選項或入侵監測產品的信息。相反，他將對話重點放在圍繞安全性的提煉觀點上，並以簡單的業務術語展示相關信息。

10. 展示業務價值

很多首席信息安全官在計算安全投資的業務的投資回報率(ROI)時遇到了困難，但是董事會想知道的是他們的安全風險和投資對業務的影響。

這就是Hayslip的目標。他表示：自己展示了項目如何影響賺錢的團隊，這就表明項目正在幫助公司做該做的事情。

他曾在一家公司工作，該公司每月大約有50臺電腦因為惡意軟件而下線，故此他投資了一些技術來降低每月的平均下線率。當他走到董事會之前，Hayslip並沒有關注新技術的成本，而是關注降低修復成本和減少宕機時間為組織機構帶來的投資價值。這就是你必須談論有關價值的內容，以及你正在降低風險的事實。

11. 確定衡量成功的標準

Chinn表示，首席信息安全官們應該反思他們是否充分地向董事會傳達了信息。因為是否充分和董事會溝通了安全策略對業務的影響，關乎着他們的安全策略將獲得多少支持和資金。

Chinn認識一位首席信息安全官，當公司數據泄露成為新聞時，他會通過董事會成員的反應來判斷自己在這一方面做的是否成功。

他表示當發生信息泄露事件後，董事會成員提出明智的問題或根本不提問題時，他就知道自己在向董事會報告方面工作做的很好。因為這表明他們信任身為首席信息安全官的他。

12. 把握好機會

Clyde表示，首席信息安全官們應該向全體董事會報告，並指出很多首席信息安全官不是向全體董事會報告，而是向審計和風險委員會報告。如果會議重未進入董事會的議程，他們應該主動採取行動。

此外，首席信息安全官應該將他們在董事會面前的時間當做一個機會，宣傳強大的網絡安全項目的重要性，並強調其所在組織機構網絡安全功能的優勢、差距和戰略。Clyde表示，ISACA建議首席信息安全官至少每年應該和董事會召開一次會議。這是為了建立信任。董事會能看到你在做事情，他們不僅知道你瞭解自己的工作，還知道你瞭解這個行業，你正在調整你的安全計劃來支持這一點。