企業應該關心這6個安全問題,建議收藏
數據信息泄露、威脅軟件進行攻擊加劇了企業董事會對網絡系統安全的擔憂。安全主管表示,董事會越來越多地參與安全問題,對網絡問題有了更深入的了解,并提出了有關風險暴露和風險管理方法的更復雜問題。
很多人仍然將安全視為執行工作的費用,但越來越多的董事會成員將其作為工作的基礎。隨著我國許多中小企業發展加快數字轉換計劃,董事會想知道在員工越來越分散的環境下,安全問題如何支持變化措施以滿足經濟業務市場需求。
麥當勞首席信息官蒂莫西·揚布拉德(Timothy Youngblood)表示:“董事會越來越意識到技術和安全問題。”他說:“由于受到SEC的一定影響,董事會也期待具備一定的技術專長。”他們受到了全國企業史協會和其他機構對網絡安全的很多指責,因此董事會現在向安全領導人提出的問題也發生了很大的變化。根據Youngblood等研究,下面列出了我國目前公司董事會關心的6個問題。
1.網絡責任
風險管理公司VigiTrust的首席執行官、新書《董事會中的在線大象》(The Online Elephant In The Board)的作者馬蒂厄·戈爾奇認為,首席信息官應該做好更好的準備,回答董事會關于在線責任的問題。Gorge介紹說,“網絡社會責任”是指一個企業部門有能力證明擁有良好的網絡經濟環境,如果沒有出現一些問題,可以通過跟蹤所有這些問題,移動到特定事件、人或群體。
首席信息官必須準備好說明網絡問責制是什么,企業為什么需要關心,如何開始網絡責任旅行,以及包含什么。Gorge說:“是為了證明自己能應對網絡攻擊,還是更好呢?”說。和誰有關,費用多少,我們真的需要嗎?”“。
安全領導人在闡明應對措施時,請注意理事會真正想聽到的是企業對整個生態系統的問責制。也就是說,安全我們不僅要能夠說明自己的部門,還必須能夠說明特許經營商、子公司、業務合作伙伴、供應商和其他第三方如何實施安全佳實踐。
這種生態系統可以是國際的,復雜的、經常沖突的規定和標準來規范,這一切都要承擔一定的責任。Cio必須準備好回答自己在做什么,或者計劃做什么來表明自己的責任。“能畫出生態系統圖來展示嗎?可以使用顯示正在發生什么的控件來展示嗎?能否說明企業內各相關人員的數據訪問權限已分類?”
2.傳染病及未來安全狀況
商業支付服務公司弗利特科的首席信息官詹姆斯?埃德加(JamesEdgar)表示,在疫情爆發后,人們轉向遠程業務,董事會關于網絡安全的問題更加突出。
從IT和整個企業業務管理部門的角度分析來看,很多可以直接關注的焦點是轉向遠程業務如何影響公司業務運營方式。這些問題包括企業是否有能力將大部分員工遷移到遠程工作模式,以及是否仍能支持業務。
Edgar表示,委員會收到的問題包括與業務連續性有關的問題,以及在病毒爆發時已實施的大型IT項目的影響。“我們能做好重要的事嗎?能否保持當前的安全和法規遵從性水平?我們的標準問題是什么,當我們可以擺脫新冠肺炎疫情時,我們能達到通過這些國家標準嗎?”
隨著事態的穩定,企業在后流行世界保持安全態勢的能力和為實現這一目標將采取何種投資方式成為焦點。埃德加表示,對他來說,有效的策略之一,就是每季度向董事會報告安全領域的威脅和重要趨勢。他說:“我們定期提供恐嚇軟件、端點保護、網絡監控和我們所做工作的新信息。在安全問題上,我們Fleetcor不是一個獨立的,而是需要放眼未來世界,天下主義兼備。`
3.安全策略
Youngblood表示,與幾年前相比,董事會對網絡安全的思考更具戰略性。很多董事將網絡信息安全管理視為一個自己的本職工作能力也是理所當然的責任和忠誠義務。
Youngblood表示:“今天面臨的問題是如何處理第三方等不受控制的事情。在外包如此之多的今天,董事們希望聽到企業網絡安全投資是如何受到保護的。他們想知道企業得到了我們什么,以及學生是否有影響業務管理目標的因素。
Youngbrue說,董事會喜歡聽到公司是否在威脅成為主要問題之前有控制來檢測威脅。他們想知道網絡信息安全管理是否與數字轉換鏈緊密相連,安全問題是否內置于所有發展階段,而不是后通過添加。他表示,董事會需要注意的是,雖然企業尚未進行,但他越來越想了解可能對網絡風險產生不利影響的投資。
回答這些問題可能會很棘手,所以好讓CIO、CPO和其他相關人士在董事會會議上自由發言。他說,在與董事會討論企業戰略管理安全教育問題時,你的發言不能驚動首席財務信息官。了解董事會的風險偏好,確保網絡安全風險在企業財務風險進行管理范圍內。楊布拉德說:“我推薦的方法是從談論工作和工作成果開始。我不會用非常具有戰略意義的方式交談。”
4.對行業佳實踐進行基準測試
云服務平臺提供商Netenrich的首席財務信息官Brandon Hoffman表示,董事會很關心該企業的安全管理狀況比同事好多少,差多少。一個原因可能是,在發生泄密事件時,公司的安全措施通常會與行業佳實踐或同事采用的實踐進行比較。
Hoffman表示:“高層對了解行業發展相關企業風險管理非常感興趣。"這種比較本身往往對創造更安全、風險更低的環境沒有多大幫助。盡管如此,很多企業董事還是學生希望通過這樣做,因為在工作生活環境中幾乎沒有進行有效地衡量安全性的方法。
Hoffman表示:“Chief信息安全(CIO)大的失誤之一是不將與安全相關的風險與業務風險相關聯。相反,報告往往側重于合規框架和技術措施,這些充其量只是日常工作的指標。這確實無助于理解高管或董事會對工作的影響。`
5.抵抗網絡攻擊
董事會不僅在戰略和企業財務風險管理層面對社會網絡信息安全問題越來越感興趣,而且還深入學生參與了企業可以抵抗和應對網絡攻擊的工作。Thycotic首席信息官顧問兼首席運營官Joseph Carson表示,應使用員工、流程和技術將風險降至低,同時在生產力和安全性之間保持適當的平衡。
董事會可以詢問首席信息官需要準備解釋的問題,包括主要業務服務暴露在威脅軟件中的風險、威脅軟件或其他攻擊對業務服務的影響的措施。他說:“哪些威脅會對業務產生大的影響,有哪些財務風險,有減少風險的選項。”我們的網絡風險差距有多大?例如,減少風險的成本與不采取任何措施的成本相比如何?”“。
回答有關事件響應計劃的問題,并準備是否對所有可能對業務產生嚴重影響的威脅進行了測試。卡森說:“我們應該采取什么措施來細分業務的各個部分并控制訪問權限?”的圖表中。
哪些法規和法規遵從性要求、哪些法規、未滿足的法規和法規遵從性要求如何符合業務網絡風險?”
6.持續遵守
Gorge表示,必須準備討論持續的法規遵從性和持續的安全。董事會成員經常會問,對網絡安全的投資需要多長時間才能獲得公司的收益。他說:“人們會問的,好吧,我們這樣做吧。那么在未來幾年里會保持得很好,對吧?或者我們需要繼續投資?”Gorge在這里表示,CIO和其他安全領導人應該引入安全和合規不是結束的過程的概念。他們必須進行明確,隨著經濟業務的發展,安全管理需求也在不斷變化。重要的是,安全領導人要強調對資金、時間、能源等網絡安全持續投資的必要性。請說明3~5年來,這些投資如何降低成本、加強安全、增強客戶信任和獲得其他實際好處。
Gorge 表示:"在網絡問責制和持續合規的背景下,CIO 面臨的大挑戰是演示網絡安全如何成為業務驅動因素,而不是簡單的成本。”不是說“如果我們不這樣做,就會發生安全事故”,而是說如何利用現有的模式,如何提高真正的價值,而是把網絡安全納入資產負債表。