這兩條新聞強(qiáng)調(diào)了企業(yè)在對抗網(wǎng)絡(luò)威脅的持續(xù)戰(zhàn)爭中所面臨的風(fēng)險。遭到破壞的企業(yè)繼續(xù)面臨直接和??明顯的影響:停機(jī)、數(shù)據(jù)丟失、收入損失、聲譽受損和監(jiān)管罰款。現(xiàn)在的風(fēng)險和損失越來越大,越來越多的網(wǎng)絡(luò)安全事件經(jīng)常引發(fā)消費者、投資者和其他受影響方的集體訴訟,他們聲稱,企業(yè)和董事會本身應(yīng)該更加努力地保護(hù)敏感信息。
當(dāng)然,很多家公司近年來都采取了一些措施來改善網(wǎng)絡(luò)安全實踐。Target、Equifax、Marriott和其他知名公司的數(shù)據(jù)泄露行為提高了人們的安全意識,并迫使IT決策者加強(qiáng)網(wǎng)絡(luò)安全的政策和措施。
但是數(shù)據(jù)泄露事件不斷發(fā)生,法律訴訟也是如此。問題是,許多企業(yè)仍未將網(wǎng)絡(luò)安全提升到真正的優(yōu)先級。雖然這更多地發(fā)生在中小企業(yè),但對于一些大型企業(yè)來說仍然是一個問題。大多數(shù)仍然依靠IT經(jīng)理來制定和執(zhí)行安全策略。許多企業(yè)領(lǐng)導(dǎo)者在網(wǎng)絡(luò)安全戰(zhàn)略中的參與度仍然不夠,或者沒有將網(wǎng)絡(luò)威脅作為企業(yè)董事會議程上的優(yōu)先項目。
以下是企業(yè)領(lǐng)導(dǎo)層優(yōu)先考慮網(wǎng)絡(luò)安全的四個基本步驟:
1.加強(qiáng)企業(yè)董事會的網(wǎng)絡(luò)安全技能
企業(yè)董事會必須在網(wǎng)絡(luò)安全準(zhǔn)備中發(fā)揮積極作用。首先必須確保他們能夠勝任這項任務(wù)。
這不僅僅是讓成員與IT和業(yè)務(wù)領(lǐng)導(dǎo)就員工進(jìn)行補(bǔ)救性討論。董事會成員需要自我教育以應(yīng)對持續(xù)的網(wǎng)絡(luò)安全挑戰(zhàn)。
企業(yè)董事會可以從評估其成員的網(wǎng)絡(luò)技能水平開始,并聘請一名或多名具有網(wǎng)絡(luò)安全專業(yè)知識的董事會成員。這些網(wǎng)絡(luò)專家可以領(lǐng)導(dǎo)企業(yè)的小組委員會,并更直接地與業(yè)務(wù)和IT領(lǐng)導(dǎo)者就網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)行溝通和交流。
此外,企業(yè)董事會應(yīng)每年或每半年接受一次培訓(xùn),以了解不斷發(fā)展的網(wǎng)絡(luò)安全形勢。精通網(wǎng)絡(luò)安全問題的董事會可以更好地解決風(fēng)險、責(zé)任和技術(shù)問題,從而為他們必須做出的戰(zhàn)略決策提供信息。
2.創(chuàng)建自由流動的信息交流
一旦企業(yè)董事會跟上進(jìn)度,管理層就有責(zé)任開發(fā)一種機(jī)制,促進(jìn)關(guān)于網(wǎng)絡(luò)風(fēng)險和戰(zhàn)略的一致溝通。管理人員應(yīng)留出時間就與網(wǎng)絡(luò)安全風(fēng)險相關(guān)的計劃、程序和持續(xù)問題進(jìn)行密切互動。
重要的是,該機(jī)制應(yīng)包括來自各個部門的利益相關(guān)者,從業(yè)務(wù)部門到IT部門,從法律人員到人力資源和營銷部門,每個人都應(yīng)參與其中。雖然網(wǎng)絡(luò)安全技術(shù)仍將由IT控制,但戰(zhàn)略和實施貫穿所有部門,并一直延伸到企業(yè)董事會。
互動應(yīng)該成為企業(yè)董事會持續(xù)職責(zé)的一部分,管理者應(yīng)該扮演教育者和促進(jìn)者的角色。
3.指定執(zhí)行發(fā)起人
雖然網(wǎng)絡(luò)安全涉及各個部門,但重要的是要將應(yīng)對計劃的制定交給某人。執(zhí)行發(fā)起人不必制定整個計劃,但負(fù)責(zé)人應(yīng)該是有權(quán)推動變革并在企業(yè)內(nèi)保持一致的領(lǐng)導(dǎo)者。在理論上,首席信息官、首席信息安全官或首席安全官應(yīng)該能夠勝任這項任務(wù)。
對于企業(yè)來說,任命一位業(yè)務(wù)負(fù)責(zé)人來擔(dān)任這一角色更有意義,因為他的工作與創(chuàng)收活動或運營有關(guān),而不是與技術(shù)有關(guān)。該人員應(yīng)與技術(shù)領(lǐng)導(dǎo)者接觸,但在處理任務(wù)時應(yīng)將重點放在業(yè)務(wù)戰(zhàn)略上。技術(shù)固然重要,更重要的是最佳響應(yīng)計劃的框架要圍繞如何最好地為數(shù)據(jù)泄露做好準(zhǔn)備,并在發(fā)生這樣的事件時維持業(yè)務(wù)運營。
4.在企業(yè)中分配角色
首席信息安全官和首席安全官將繼續(xù)制定企業(yè)的安全議程,同時其他領(lǐng)導(dǎo)者也需要發(fā)揮積極作用。首席財務(wù)官必須確保在企業(yè)的所有財務(wù)流程中都有了一定程度的安全性。人力資源總監(jiān)需要認(rèn)真地審查入職新員工的履歷,并充當(dāng)員工熟悉安全實踐的渠道。銷售主管需要促進(jìn)安全,因為員工的遠(yuǎn)程虛擬訪問可能使他們成為黑客的主要載體。
結(jié)論
在當(dāng)今社會,企業(yè)不能指望完全杜絕網(wǎng)絡(luò)安全訴訟。但他們可以在加強(qiáng)網(wǎng)絡(luò)安全方面發(fā)揮積極作用。企業(yè)需要將網(wǎng)絡(luò)安全作為領(lǐng)導(dǎo)力問題,并將其擴(kuò)展到整個企業(yè),一直向上延伸到企業(yè)董事會,而這是朝著正確方向邁出的一步。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號