網(wǎng)絡(luò)安全人人有責(zé) 董事們也不例外
網(wǎng)絡(luò)安全是個商業(yè)問題,不僅僅是個技術(shù)問題。董事會對利益相關(guān)者和投資人負(fù)有信托責(zé)任,應(yīng)從上至下主導(dǎo)整個公司的網(wǎng)絡(luò)安全監(jiān)管與領(lǐng)導(dǎo)工作,主動監(jiān)督保護(hù)敏感數(shù)據(jù)與客戶信息所用的方式方法。
作為安全過程的一部分,董事會需了解威脅態(tài)勢和高價值目標(biāo)。在考慮公司哪些信息對網(wǎng)絡(luò)罪犯而言具有價值時,董事們往往會關(guān)注數(shù)據(jù)和商業(yè)敏感信息,而忘了他們自身就是高價值目標(biāo)。
惡意黑客倒是會對公司高級主管多下功夫,因為他們掌握的權(quán)力和信息比普通員工多。很多企業(yè)中,董事會成員不被當(dāng)成員工看待,不用參與員工培訓(xùn),且往往還能使用自己那沒安裝企業(yè)防御與監(jiān)控措施的設(shè)備。這幾個風(fēng)險因素再加上董事會成員對公司秘密信息的訪問權(quán)限, 就讓董事們成為了網(wǎng)絡(luò)攻擊浪潮中一葉風(fēng)雨飄搖的小舟。
作為有影響力的領(lǐng)導(dǎo),董事會成員在設(shè)立公司安全文化上舉足輕重,也有義務(wù)不僅僅了解公司緩解網(wǎng)絡(luò)安全風(fēng)險的措施,還要確保自身也在實踐這些安全行為。
網(wǎng)絡(luò)責(zé)任上升
網(wǎng)絡(luò)安全不僅是個技術(shù)問題,也是人的問題:想想你有多容易點擊惡意鏈接或打開惡意附件?澳大利亞信息專員辦公室(OAIC)最近公布了數(shù)據(jù)泄露季報,揭示36%的數(shù)據(jù)泄露是人為失誤導(dǎo)致的。
作為高層領(lǐng)導(dǎo),董事會需減小公司面臨的風(fēng)險并對企業(yè)風(fēng)險加以監(jiān)管。對董事而言,緩解網(wǎng)絡(luò)風(fēng)險最簡單的方法,就是問問題和高標(biāo)準(zhǔn)要求自身。董事應(yīng)確保自身采取了恰當(dāng)?shù)姆椒ūWo(hù)自己的商業(yè)賬戶及個人賬戶,并請教安全人員,了解怎樣才能更好地保護(hù)自己和公司數(shù)據(jù)。作為領(lǐng)導(dǎo),董事可能需對災(zāi)難性網(wǎng)絡(luò)攻擊事件負(fù)責(zé)。
不在位期間是遭攻擊高峰期
網(wǎng)絡(luò)攻擊隨時隨地都會發(fā)生,但對董事會成員而言,他們不在公司的時間段是威脅風(fēng)險最高的時候。董事們經(jīng)常在家辦公,在出差途中辦公,而且會混用個人和公司的設(shè)備與賬戶。這些不安全的網(wǎng)絡(luò)達(dá)不到公司環(huán)境的那種安全程度,人走出公司辦公樓后的行為也會發(fā)生改變。
出差或旅行時,大多數(shù)人都會欣然連接機(jī)場、酒店或咖啡館的公共WiFi。董事們有太多機(jī)會在不安全網(wǎng)絡(luò)上下載敏感文件或查看機(jī)密電子郵件了。這一簡單而極其常見的行為很有可能將公司暴露在巨大風(fēng)險面前。很多攻擊者密切關(guān)注董事會成員的出行日程表,目的明確地侵入酒店WiFi以盜取敏感材料。
CrowdStrike的《全球威脅報告》發(fā)現(xiàn),民族國家黑客對酒店行業(yè)特別關(guān)注,或為追蹤旅行中的目標(biāo)人物,或為在潛在受害者脫離安全網(wǎng)絡(luò)時侵入其電子設(shè)備。通過盯緊酒店,他們知道自己的預(yù)定目標(biāo)對攻擊毫不設(shè)防的確切時間和地點。
教育與意識
幫公司應(yīng)對網(wǎng)絡(luò)攻擊并不需要董事們自己成為網(wǎng)絡(luò)安全專家,但保護(hù)自身安全卻需要了解威脅并保持警惕。
最重要的是,董事會必須更主動地承擔(dān)起網(wǎng)絡(luò)安全責(zé)任。以下幾條建議可供參考:
1. 定下基調(diào)
董事會需指導(dǎo)如何劃定網(wǎng)絡(luò)安全風(fēng)險優(yōu)先級。安全提升往往伴隨著效率的降低或其他業(yè)務(wù)目標(biāo)上的權(quán)衡取舍,董事級指導(dǎo)的缺失常會造成安全重心的偏移而增加業(yè)務(wù)風(fēng)險。
2. 要求知悉和問問題
理想狀態(tài)下,每次董事會會議或董事會分管委員會會議上都應(yīng)討論網(wǎng)絡(luò)安全問題。簡報不應(yīng)浮于表面,而應(yīng)深入公司安全態(tài)勢的細(xì)節(jié)。
3. 第三方評估
董事會需客觀了解公司的網(wǎng)絡(luò)風(fēng)險暴露面。與聘用獨立審計師評估財務(wù)操作類似,主流公司企業(yè)會引入熟悉所屬行業(yè)當(dāng)前網(wǎng)絡(luò)安全風(fēng)險的第三方來評估其風(fēng)險態(tài)勢。
僅憑安全教育無法阻止惡意黑客對公司實施網(wǎng)絡(luò)攻擊,但它能避免愚蠢或疏忽行為。多加提點高層領(lǐng)導(dǎo)被黑客特別關(guān)照的原因和方式,可以增加檢測并阻止攻擊的概率,防患于未然。
學(xué)習(xí)如何應(yīng)對網(wǎng)絡(luò)安全風(fēng)險和理解自身網(wǎng)絡(luò)安全風(fēng)險責(zé)任是非常重要的,必須從最高層加以戰(zhàn)略性解決。網(wǎng)絡(luò)安全管理不再是推給IT部門就能解決的事。網(wǎng)絡(luò)安全人人有責(zé),董事們也不例外。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
