企業(yè)領導層優(yōu)先考慮網(wǎng)絡安全的四項舉措
企業(yè)遭遇網(wǎng)絡安全方面的訴訟如今屢見不鮮。Capital One公司由于網(wǎng)絡安全訴訟最終賠付1.9億美元。Ultimate
Kronos集團由于涉嫌對勒索軟件攻擊的疏忽而被發(fā)起集體訴訟,因此,很多企業(yè)將糟糕的網(wǎng)絡安全系統(tǒng)確定為根本問題。
這兩條新聞強調了企業(yè)在對抗網(wǎng)絡威脅的持續(xù)戰(zhàn)爭中所面臨的風險。遭到破壞的企業(yè)繼續(xù)面臨直接和明顯的影響:停機、數(shù)據(jù)丟失、收入損失、聲譽受損和監(jiān)管罰款。現(xiàn)在的風險和損失越來越大,越來越多的網(wǎng)絡安全事件經(jīng)常引發(fā)消費者、投資者和其他受影響方的集體訴訟,他們聲稱,企業(yè)和董事會本身應該更加努力地保護敏感信息。
當然,很多家公司近年來都采取了一些措施來改善網(wǎng)絡安全實踐。Target、Equifax、Marriott和其他知名公司的數(shù)據(jù)泄露行為提高了人們的安全意識,并迫使IT決策者加強網(wǎng)絡安全的政策和措施。
但是數(shù)據(jù)泄露事件不斷發(fā)生,法律訴訟也是如此。問題是,許多企業(yè)仍未將網(wǎng)絡安全提升到真正的優(yōu)先級。雖然這更多地發(fā)生在中小企業(yè),但對于一些大型企業(yè)來說仍然是一個問題。大多數(shù)仍然依靠IT經(jīng)理來制定和執(zhí)行安全策略。許多企業(yè)領導者在網(wǎng)絡安全戰(zhàn)略中的參與度仍然不夠,或者沒有將網(wǎng)絡威脅作為企業(yè)董事會議程上的優(yōu)先項目。
以下是企業(yè)領導層優(yōu)先考慮網(wǎng)絡安全的四個基本步驟:
1. 加強企業(yè)董事會的網(wǎng)絡安全技能
企業(yè)董事會必須在網(wǎng)絡安全準備中發(fā)揮積極作用。首先必須確保他們能夠勝任這項任務。
這不僅僅是讓成員與IT和業(yè)務領導就員工進行補救性討論。董事會成員需要自我教育以應對持續(xù)的網(wǎng)絡安全挑戰(zhàn)。
企業(yè)董事會可以從評估其成員的網(wǎng)絡技能水平開始,并聘請一名或多名具有網(wǎng)絡安全專業(yè)知識的董事會成員。這些網(wǎng)絡專家可以領導企業(yè)的小組委員會,并更直接地與業(yè)務和IT領導者就網(wǎng)絡安全戰(zhàn)略進行溝通和交流。
此外,企業(yè)董事會應每年或每半年接受一次培訓,以了解不斷發(fā)展的網(wǎng)絡安全形勢。精通網(wǎng)絡安全問題的董事會可以更好地解決風險、責任和技術問題,從而為他們必須做出的戰(zhàn)略決策提供信息。
2. 創(chuàng)建自由流動的信息交流
一旦企業(yè)董事會跟上進度,管理層就有責任開發(fā)一種機制,促進關于網(wǎng)絡風險和戰(zhàn)略的一致溝通。管理人員應留出時間就與網(wǎng)絡安全風險相關的計劃、程序和持續(xù)問題進行密切互動。
重要的是,該機制應包括來自各個部門的利益相關者,從業(yè)務部門到IT部門,從法律人員到人力資源和營銷部門,每個人都應參與其中。雖然網(wǎng)絡安全技術仍將由IT控制,但戰(zhàn)略和實施貫穿所有部門,并一直延伸到企業(yè)董事會。
互動應該成為企業(yè)董事會持續(xù)職責的一部分,管理者應該扮演教育者和促進者的角色。
3. 指定執(zhí)行發(fā)起人
雖然網(wǎng)絡安全涉及各個部門,但重要的是要將應對計劃的制定交給某人。執(zhí)行發(fā)起人不必制定整個計劃,但負責人應該是有權推動變革并在企業(yè)內保持一致的領導者。在理論上,首席信息官、首席信息安全官或首席安全官應該能夠勝任這項任務。
對于企業(yè)來說,任命一位業(yè)務負責人來擔任這一角色更有意義,因為他的工作與創(chuàng)收活動或運營有關,而不是與技術有關。該人員應與技術領導者接觸,但在處理任務時應將重點放在業(yè)務戰(zhàn)略上。技術固然重要,更重要的是最佳響應計劃的框架要圍繞如何最好地為數(shù)據(jù)泄露做好準備,并在發(fā)生這樣的事件時維持業(yè)務運營。
4. 在企業(yè)中分配角色
首席信息安全官和首席安全官將繼續(xù)制定企業(yè)的安全議程,同時其他領導者也需要發(fā)揮積極作用。首席財務官必須確保在企業(yè)的所有財務流程中都有了一定程度的安全性。人力資源總監(jiān)需要認真地審查入職新員工的履歷,并充當員工熟悉安全實踐的渠道。銷售主管需要促進安全,因為員工的遠程虛擬訪問可能使他們成為黑客的主要載體。
結論
在當今社會,企業(yè)不能指望完全杜絕網(wǎng)絡安全訴訟。但他們可以在加強網(wǎng)絡安全方面發(fā)揮積極作用。企業(yè)需要將網(wǎng)絡安全作為領導力問題,并將其擴展到整個企業(yè),一直向上延伸到企業(yè)董事會,而這是朝著正確方向邁出的一步。
