如何与董事会零信任呢

框架零信任作为网络安全策略减少商业风险就是一定要让你的行政领导的注意。

这已经不是什么秘密,CISOs和其他网络安全的领导人努力与高级管理层和董事会在他们能够理解的语言。商业领袖们自然想要讨论网络安全业务术语。对于许多infosec领导人来说,学习如何“讲业务”是类似的学习第二语言;他们更舒适的在战术和技术术语。

但是有更多的故事。在我的经验中,董事会成员和c级业务主管通常允许自我规避常识。他们上升到目前的崇高的职位由于其独特的混合知识、人才和野心。他们被视为推动房间里最聪明的人。和一些人认为规则并不适用于他们。所以,当一个网络安全领袖走进董事会喷射技术术语不熟悉这些船长工业和敢于表明自己的行为可能是问题的一部分?它巩固了一个长期存在的偏见行政领导人向观看网络安全作为抑制剂对业务。

相反,如果你能作为大战略的框架下讨论这个问题在一个简单的目标:停止数据泄露。这样的框架使您能够参与商业领袖在战略层面上使用纯他们很容易理解的语言。坦率地说,数据泄露是唯一的事件,可以得到一个CEO或公司总裁解雇。另外,数据泄露是唯一的网络安全事件,是不可恢复的:你永远不能找回数据,你不能让时光倒流,就好像从未发生过。

网络安全领袖谁能表达一个可行的计划停止数据泄露会得到董事会的时间和注意力。

零信任体系结构的原则允许你这样做。这是一种新的思考方式对待信息安全信托作为一个漏洞。模型设计与组织的最高水平产生共鸣而不必要求他们做出重大投资的新工具。这水平的竞技场,立即破坏任何高管认为自己是“比你可靠的。”A cybersecurity strategy that removes trust entirely from digital systems is, in fact, a great equalizer, one that any proponent of "flat" corporate hierarchies ought to be more than happy to embrace.

零信任是建立在安全必须成为无处不在的整个基础设施。模型被设计成战略共振在任何组织的最高水平。零信任的概念很简单:

• 访问所有资源以一种安全的方式,而不考虑它们的位置。

• 访问控制是在“应”的基础上,严格执行。

• 所有交通检查和记录。

• 从内部网络设计。

• 网络的目的是验证一切,从不信任


虽然零信任模型代表一个重大分歧的遗产,moat-and-castle网络安全的方法,它使用商用现货技术可以由专业人员实施。它是建立在当前网络的最佳实践和良好的网络卫生,如漏洞管理、积极的修补和连续监测,今天已经在大多数组织中实现。

董事会有一个主要的作用在塑造未来的网络安全策略。正如拜登最近发布的行政命令管理由零信任美国的战略势在必行,所以也可以董事会行使相当大的权力,提升网络安全作为一个战略业务优先级。这里有八种方法开始:

停止认为网络安全是一种抑制剂。让你的业务系统冻结在ransomware攻击是一种抑制剂。网络安全必须被视为一个推动者的业务如果我们有希望降低风险。


• 改变激励结构。奖励每个人做正确的事情。

• 给你的网络安全专家相同的时间,当你给你的高管薪酬委员会。

• 创建一个文化的透明度和推卸责任。的环境很可能创建之前这些威胁的存在。当前的员工处理多年的决策由前辈他们没有控制。该系统是有机的。而不是寻求地方怪当坏事情发生,奖励那些不好的事情发生之前试图解决这些问题。

• 激励和奖励那些认真努力解决这些问题。并给他们他们需要的时间和支持。

• 要求所有CISOs报告首席执行官,CIO。这给了行政领导组织的网络风险的一个质朴的视图。

• 考虑增加网络安全的预算。如果只有5%到10%的技术预算将网络安全,你可能做得不够。


解决当今网络安全挑战需要改变我们的思考方式的问题,各级组织。它需要尽可能多的承诺的董事会和高层管理人员,普通管理员,他不知疲倦地工作,对重要的阻力来保护敏感数据和降低风险。

约翰Kindervag,高级副总裁ON2IT是一个客人贡献者站得住脚的博客。

了解更多

• 读博客:零信任之路:是时候重新思考我们调用一个漏洞?和站得住脚的信任和路径为零
• 查看解决方案简介:破坏攻击路径为零的信任