企業(yè)董事會(huì)對(duì)信息安全計(jì)劃興趣日趨濃厚
信息安全界一直認(rèn)為企業(yè)董事會(huì)未能積極參與IT安全計(jì)劃,其中包括在員工和威脅緩解技術(shù)方面沒有進(jìn)行足夠的投資。然而,信息安全專業(yè)人士可能很快要改變這種看法,根據(jù)兩位專家表示,阻礙董事會(huì)成員積極參與信息安全計(jì)劃的因素在于缺乏安全教育,而不是安全意識(shí)。
美國全國公司董事協(xié)會(huì)(NACD)是專注于提高董事會(huì)領(lǐng)導(dǎo)和做法的非營利組織,該協(xié)會(huì)總裁兼首席執(zhí)行官Ken Daly表示,在NACD的14000多名成員中,很多成員都表示了其領(lǐng)導(dǎo)對(duì)各自企業(yè)內(nèi)信息安全話題的興趣。他指出,近年來,“安全風(fēng)險(xiǎn)不屬于企業(yè)董事會(huì)成員的職責(zé)的觀念”已經(jīng)轉(zhuǎn)變,這主要是受斯諾登和Bradley Manning,以及Target和其他大型零售商的安全泄露事故的影響。
互聯(lián)網(wǎng)安全聯(lián)盟總裁兼首席執(zhí)行官Larry Clinton在國土安全會(huì)議上表示同意Daly的看法,并提到了最近FTI咨詢公司的調(diào)查統(tǒng)計(jì)數(shù)據(jù),這些數(shù)據(jù)顯示數(shù)據(jù)安全現(xiàn)在是企業(yè)主管和總法律顧問最關(guān)心的問題。Clinton補(bǔ)充說,“數(shù)據(jù)安全”取代了去年的“繼承選擇和領(lǐng)導(dǎo)過渡”,這表明信息安全已經(jīng)成為企業(yè)董事會(huì)成員的主要課題。
“我們實(shí)際上已經(jīng)超越了我們的第一個(gè)目標(biāo),即提高網(wǎng)絡(luò)安全意識(shí),到更困難的問題,即真正了解問題,然后合作解決問題,”Clinton表示,“談?wù)摼W(wǎng)絡(luò)安全應(yīng)該成為業(yè)務(wù)的一部分,這是一回事;而真正能做到這一點(diǎn),又是另一回事。”
事實(shí)上,董事會(huì)成員對(duì)信息安全問題意識(shí)的提高是好事,但這并不一定意味著董事會(huì)成員會(huì)采取更多行動(dòng)來減少風(fēng)險(xiǎn)。很多NACD成員已經(jīng)通過調(diào)查和非正式討論表明,對(duì)于安全話題,他們?nèi)狈逃渲杏行┤诉€承認(rèn)他們沒有掌握必要的安全專用詞匯來有效地討論相關(guān)技術(shù)、威脅媒介和趨勢。
為了滿足對(duì)更多信息安全知識(shí)的需求,NACD在6月份發(fā)表了一本手冊,其中詳細(xì)介紹了5個(gè)一般信息安全原則,這些原則涵蓋了“有關(guān)安全風(fēng)險(xiǎn)監(jiān)督,董事會(huì)需要考慮的因素”。Daly表示,這本手冊在發(fā)布后,已經(jīng)下載超過1200次,隨著國土安全局已經(jīng)將它選作為關(guān)注安全的私有企業(yè)的資源,它還會(huì)獲得更多的關(guān)注。NACD也將提供更多的安全資源,形式包括視頻系列以及企業(yè)會(huì)議的專家演講。對(duì)于這個(gè)NACD手冊中包含的內(nèi)容,其中一條原則建議董事會(huì)成員注意與網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)的法律問題。某些州(例如加利福尼亞)已經(jīng)制定了與安全泄露事故通知相關(guān)的具體指導(dǎo)方針,而備受矚目的數(shù)據(jù)泄露事故已經(jīng)導(dǎo)致很多公司被起訴。為了確保企業(yè)在這種事件后不會(huì)因?yàn)楹鲆暟踩远馄鹪V,NACD手冊指出,董事會(huì)關(guān)于安全話題的討論應(yīng)該在所有正式會(huì)議中記錄下來,包括對(duì)特定風(fēng)險(xiǎn)的更新和整體安全計(jì)劃及技術(shù)。
這本手冊還指出,企業(yè)董事會(huì)還應(yīng)該確保他們經(jīng)常與安全相關(guān)的工作人員和專家舉行會(huì)議,來討論網(wǎng)絡(luò)風(fēng)險(xiǎn),并決定各自企業(yè)對(duì)這種風(fēng)險(xiǎn)的容忍程度。Daly強(qiáng)調(diào),這本手冊并沒有提倡的是,在董事會(huì)安排專門的安全人員。
相反地,作為企業(yè)級(jí)戰(zhàn)略的一部分,所有董事會(huì)成員應(yīng)該積極參與管理風(fēng)險(xiǎn)中來。這意味著,每個(gè)董事會(huì)成員和委員會(huì)應(yīng)該了解“安全如何影響他們的具體領(lǐng)域”,然后確定自己是否已深入其中來試圖管理相應(yīng)的問題,或者甚至可能聘請外部顧問來幫助他們。
“我沒有聽說過NACD成員想要把另一位專家安排在董事會(huì),”Daly表示,“我認(rèn)為這實(shí)際上違背了這個(gè)企業(yè)級(jí)的概念。”
Daly表示他希望,即使這個(gè)NACD手冊沒有為企業(yè)董事會(huì)提供所有答案,但這至少能夠?qū)⒛壳皩?duì)信息安全的“未知”變?yōu)?ldquo;不確定”,這意味著他們將接受數(shù)據(jù)泄露事故的必然性,但這種泄露事故的結(jié)果仍然會(huì)受到企業(yè)提前部署的緩解措施的影響。
