Mark Simos是微软的首席网络安全架构师，拥有超过20年的经验，所以他深知如何与董事会打交道。无论您在一家上市公司还是私人公司工作，董事会都负责监督。这意味着确保领导团队不仅在经营业务，还在管理风险。而网络犯罪是当今组织所面临的最大风险之一。

但为了让董事会理解组织的安全状况，他们需要理解安全与业务之间的关系。与处理财务、法律问题或人员管理不同，网络安全对于很多董事会成员来说是一个新领域。根据Mark的说法，赢得他们的支持的重要部分是“确保董事会成员明白，网络安全不仅是一个要解决的技术问题，然后就可以放下了。它是一个持续的风险。”

在我们的交谈中，Mark提出了董事会需要了解的三个基本要点：

1. 问题或需求：以与业务相关的术语来解释。

2. 状态：您如何管理风险以达到目标容忍度？

3. 解决方案：您的计划是什么，进展如何？

额外提示：

- 了解您的董事会。阅读他们的简历，研究他们的背景和专业。这些都是非常能干和聪明的人，已经掌握了要求高的学科，如财务、供应链管理、制造等。当以清晰的方式呈现网络安全问题时，他们能够理解。

- 学习他们的语言。这涉及将网络安全问题以他们能理解的概念呈现，帮助您准确传达您的观点。

- 找一个董事会朋友。与董事会中对学习网络安全有兴趣的人建立关系。相互的指导关系可以帮助您了解对方的专业领域，从而以明晰的术语表达您的立场。

Mark提供了丰富的免费资源，您可以随时在Mark's List上访问。此外，微软统一（以前是首席支持）提供首席信息安全官（CISO）研讨会的公共视频和现场研讨会。该研讨会提供了大量材料，可帮助您加速与董事会的富有成效的合作关系，包括：

- 董事会应该询问安全团队的样本问题（您应该主动回答的问题）。

- 角色扮演视频，展示CISO如何与不友好的业务领导者交流。

- 基于许多组织中常用的熟悉方法的Kaplan式记分卡。

通常，董事会成员未考虑到安全决策可以由资产所有者而不仅仅是安全团队做出。Mark建议强调网络安全的整体性质，将其与典型的业务单元关注点区分开来。他说：“在安全方面，无论船上哪里出现漏洞，船还是会沉的。所以，各部门真正需要团结协作，认识到“我不仅仅是在为自己接受风险;我是在为所有人接受风险。”

参考资料：

首席信息安全官 (CISO) 研讨会培训（包括视频和幻灯片）

https://learn.microsoft.com/zh-cn/security/ciso-workshop/the-ciso-workshop

https://www.microsoft.com/en-us/security/blog/2023/02/28/microsoft-security-experts-discuss-evolving-threats-in-roundtable-chat/