保護(hù)數(shù)字資源和管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的人才、過(guò)程和技術(shù),是維系企業(yè)和社會(huì)穩(wěn)定繁榮的基礎(chǔ)。即便如此,在很多企業(yè)中,董事會(huì)和高管層才剛剛開(kāi)始真正參與到網(wǎng)絡(luò)安全策略和管理中來(lái)。
達(dá)斯達(dá)克最近的一次調(diào)查,凸顯了跨國(guó)企業(yè)高層在網(wǎng)絡(luò)安全意識(shí)和責(zé)任上的缺失:太多董事會(huì)成員和高管理解不了安全簡(jiǎn)報(bào),不愿承擔(dān)數(shù)據(jù)泄露的責(zé)任。
聯(lián)網(wǎng)技術(shù)和設(shè)備、大數(shù)據(jù),以及網(wǎng)絡(luò)犯罪的同時(shí)引爆,導(dǎo)致了新高管角色的更廣泛采納,比如首席安全官(CSO)、首席信息安全官(CISO)和首席數(shù)字官(CDO)。隨著信息監(jiān)管、風(fēng)險(xiǎn)管理和合規(guī)在范圍和復(fù)雜度上的增長(zhǎng),讓高管層焦慮忙碌的的高級(jí)策略和監(jiān)督責(zé)任更多了。然而,如果角色未能清晰定義,或者協(xié)作不力,新增的責(zé)任也會(huì)引入混亂和低效。
涉及網(wǎng)絡(luò)安全問(wèn)題,董事會(huì)成員和核心高管,尤其是沒(méi)有直接參與部署安全項(xiàng)目的那些,能否完全融入并持續(xù)做出貢獻(xiàn)是極為重要的,比以往任何時(shí)候都重要。
CEO(首席執(zhí)行官)、CFO(首席財(cái)務(wù)官)、CIO(首席信息官)和CMO(首席營(yíng)銷官)之類的角色在過(guò)去十年里經(jīng)歷了重大轉(zhuǎn)型。企業(yè)領(lǐng)導(dǎo)的公眾監(jiān)督創(chuàng)了歷史新高,部分原因是大量黑客事件和全球數(shù)據(jù)泄露事件的爆發(fā)。過(guò)去幾年的經(jīng)驗(yàn)越來(lái)越表明,在數(shù)據(jù)泄露事件中,被黑企業(yè)會(huì)被追究完全責(zé)任并被大家斥責(zé)。因此,高管層的每一個(gè)人,都可能面對(duì)著巨大的壓力。
不過(guò),好消息是,高管們開(kāi)始對(duì)保護(hù)企業(yè)資產(chǎn)、數(shù)據(jù)、員工和客戶的安全措施投以更多的注意了。警示故事、末日?qǐng)鼍昂凸娦呷璧耐{起到了重要影響。高管意識(shí)和參與最終得到了提升,但建立堅(jiān)固的防線需要持續(xù)的戰(zhàn)略性的協(xié)作。主管們必須從上至下地推行責(zé)任文化,確保他們的意思傳達(dá)到企業(yè)各層級(jí)。
只有在高管們用自己的專業(yè)知識(shí)和特殊地位幫助確立優(yōu)先級(jí),并保持安全工作符合企業(yè)目標(biāo)的情況下,全方位照顧到防御、風(fēng)險(xiǎn)管理、預(yù)防、檢測(cè)、修復(fù)和事件響應(yīng)才會(huì)更加可行。我們可以來(lái)看一下高管中每個(gè)角色的職能和地位。
CEO
CEO的位子可不好坐,常常面對(duì)著千頭萬(wàn)緒的工作。他們要處理不斷涌入的IT基礎(chǔ)設(shè)施及服務(wù)相關(guān)新規(guī)則和風(fēng)險(xiǎn)因素,確保企業(yè)正常運(yùn)轉(zhuǎn)。這些挑戰(zhàn)只能通過(guò)協(xié)作性的團(tuán)隊(duì)工作來(lái)應(yīng)對(duì)。建立完備健壯的網(wǎng)絡(luò)安全項(xiàng)目,需要來(lái)自CEO的強(qiáng)大領(lǐng)導(dǎo)力,以及與董事會(huì)和其他高管協(xié)作打破傳統(tǒng)職能樊籬重新定義角色的意愿。通過(guò)保持安全項(xiàng)目符合公司戰(zhàn)略目標(biāo),CEO可幫助公司獲取競(jìng)爭(zhēng)優(yōu)勢(shì),自信把握新興機(jī)會(huì)。
為保持對(duì)公司安全準(zhǔn)備程度的準(zhǔn)確大局觀,CEO必須主動(dòng)征求并提煉來(lái)自不同利益相關(guān)者關(guān)于安全的顧慮、意見(jiàn)和建議。確保團(tuán)隊(duì)用“何時(shí)”而非“是否”發(fā)生安全事件的思維思考問(wèn)題是十分重要的——網(wǎng)絡(luò)攻擊太多太復(fù)雜,認(rèn)為可以完全規(guī)避掉是十分愚蠢的想法。
數(shù)據(jù)泄露發(fā)生時(shí),你必須拿出快速有效的事件響應(yīng);響應(yīng)越快,結(jié)果越好。在監(jiān)管者和消費(fèi)者眼里,信譽(yù)是由全面持續(xù)的網(wǎng)絡(luò)安全工作支持的。CEO必須展示出通過(guò)安全分析、培訓(xùn)、計(jì)劃和測(cè)試有意建立的快速恢復(fù)策略。CEO通過(guò)強(qiáng)調(diào)持續(xù)溝通與協(xié)作的重要性來(lái)領(lǐng)導(dǎo)全局。在整個(gè)公司和供應(yīng)鏈范圍內(nèi)倡導(dǎo)安全意識(shí)文化,可以加強(qiáng)公司的防御;“內(nèi)部人士威脅”依然是最常見(jiàn)的攻擊界面。
CFO
網(wǎng)絡(luò)罪犯直接或間接地攻擊財(cái)務(wù)系統(tǒng),各種類型的數(shù)據(jù)泄露持續(xù)影響公司的底線。這些持續(xù)的威脅,需要CFO緊密參與進(jìn)安全措施和網(wǎng)絡(luò)風(fēng)險(xiǎn)管理中來(lái)。CFO還忙于偷盜、浪費(fèi)和供應(yīng)鏈問(wèn)題導(dǎo)致的資金損失,所有這些都可能源于網(wǎng)絡(luò)事件或被網(wǎng)絡(luò)事件激增放大。
從內(nèi)部運(yùn)營(yíng)到投資人關(guān)系,CFO角色的每一個(gè)部分都涉及高度敏感的數(shù)據(jù),這些數(shù)據(jù)必須被嚴(yán)格管控和保護(hù)。為履行他們基于信任的職責(zé),CFO必須保有對(duì)這些關(guān)鍵信息的存儲(chǔ)位置、潛在的竊賊和竊取方式的深入了解。他們的職責(zé)包括向董事會(huì)揭示網(wǎng)絡(luò)攻擊的潛在影響。這就要求CFO們將安全風(fēng)險(xiǎn)集成到關(guān)于投資、規(guī)程和合作伙伴關(guān)系的討論和決策中。分析網(wǎng)絡(luò)保險(xiǎn)和安全解決方案的可行性和成本效率也落在CFO的職責(zé)范圍內(nèi)。另外,CFO還應(yīng)該緊密參與到公司事件響應(yīng)計(jì)劃的起草和演練部分,與股東、合作伙伴、供應(yīng)商和客戶進(jìn)行溝通。
在倡導(dǎo)和推進(jìn)可促進(jìn)公司長(zhǎng)期增長(zhǎng)的關(guān)鍵投資上,CFO也扮演著重要的角色。有前瞻眼光的CFO,能認(rèn)識(shí)到網(wǎng)絡(luò)安全投資作為保護(hù)信譽(yù)、股價(jià)、金融資源和專利信息主要方式的重要性。
CIO
CIO這個(gè)角色,當(dāng)然是與網(wǎng)絡(luò)安全責(zé)任緊密相連的。CIO明顯能從更廣泛的協(xié)作方法中收獲最多。集結(jié)了公司各領(lǐng)域菁英的統(tǒng)一的前端,明顯比只依靠IT團(tuán)隊(duì)構(gòu)建的薄弱防線有力得多。
隨著CISO和CDO之類新的角色加入分擔(dān)工作量,CIO們應(yīng)擔(dān)負(fù)起將非技術(shù)類高管和董事會(huì)成員拉進(jìn)來(lái)的責(zé)任。他們的新方針,是精于協(xié)調(diào)所有利益相關(guān)者,為安全項(xiàng)目獲取更好的資金和支持。他們必須用商業(yè)和風(fēng)險(xiǎn)的語(yǔ)言陳述問(wèn)題,說(shuō)服董事會(huì)和投資者認(rèn)同IT與風(fēng)險(xiǎn)管理之間的重要聯(lián)系。董事會(huì)想要的是定期更新的指標(biāo)和評(píng)估,以便進(jìn)行不同時(shí)期的比較。將這些數(shù)據(jù)形成準(zhǔn)確全面的信息技術(shù)風(fēng)險(xiǎn)視圖的方法,也是董事會(huì)需要的。納斯達(dá)克調(diào)查發(fā)現(xiàn),大部分董事會(huì)成員,尤其是那些防護(hù)脆弱的公司里的,就不能理解網(wǎng)絡(luò)安全報(bào)告。CIO的工作,就是橋接起這危險(xiǎn)的認(rèn)知空白。
維持技術(shù)收益、安全控制和風(fēng)險(xiǎn)管理之間的有效平衡,是CIO的職責(zé)所在。通過(guò)將自己的工作與商業(yè)戰(zhàn)略目標(biāo)相吻合,CIO將能更緊密地與其他高管同事協(xié)作,塑造商業(yè)決策、有競(jìng)爭(zhēng)性的戰(zhàn)略和可持續(xù)的創(chuàng)新。
CMO
CMO(首席營(yíng)銷官)照顧著與客戶的聯(lián)系比以往任何時(shí)候都更緊密的數(shù)字王國(guó),所以,他們的角色近幾年來(lái)見(jiàn)證了巨大的改變絲毫不令人感到驚訝。手機(jī)營(yíng)銷、社交媒體、廣告技術(shù)和大數(shù)據(jù)帶來(lái)的進(jìn)步,推動(dòng)了消費(fèi)數(shù)據(jù)的巨量增長(zhǎng),可供營(yíng)銷目的進(jìn)行收集和分析。這些數(shù)據(jù)大多受到隱私條例的監(jiān)管,管理這些數(shù)據(jù)的部分工作,就是要保護(hù)數(shù)據(jù)不被竊取和濫用。畢竟,網(wǎng)絡(luò)罪犯對(duì)這些數(shù)據(jù)的興趣,跟你也是一樣的。數(shù)據(jù)驅(qū)動(dòng)的市場(chǎng)營(yíng)銷取決于客戶的信任,而頻現(xiàn)報(bào)端的重大數(shù)據(jù)泄露事件正在侵蝕這份信任。
品牌和客戶間關(guān)系受網(wǎng)絡(luò)攻擊余波損害的事情越來(lái)越多。數(shù)據(jù)泄露事件中,CMO身處前線和焦點(diǎn)。所以,他們應(yīng)確保自身是事件響應(yīng)和數(shù)據(jù)安全計(jì)劃中的一部分。近期事件的重大教訓(xùn)之一,就是財(cái)務(wù)和信譽(yù)傷害是被放大還是緩解,取決于品牌響應(yīng)的快速性、可信度和效率。只要客戶感受到透明度或關(guān)切度的缺失,CMO的所有努力就會(huì)灰飛煙滅。
今天的企業(yè)中,CMO的部門(mén)驅(qū)動(dòng)著基于數(shù)字的增長(zhǎng)。董事會(huì)和管理團(tuán)隊(duì)依賴他們來(lái)引領(lǐng)品牌、產(chǎn)品和創(chuàng)新工作獲得競(jìng)爭(zhēng)優(yōu)勢(shì),同時(shí)又避免與數(shù)據(jù)隱私法規(guī)沖突。確保品牌堂堂正正鶴立雞群,就是CMO的工作。
責(zé)任從頂層開(kāi)始
高管具備公司組件內(nèi)部互聯(lián)方式的最清晰全面視圖。對(duì)共同價(jià)值和戰(zhàn)略的認(rèn)真共享的承諾,是管理團(tuán)隊(duì)和董事會(huì)間構(gòu)筑良好關(guān)系的基石。只有通過(guò)真誠(chéng)持續(xù)的協(xié)作,網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜這類的復(fù)雜威脅才能被妥善管理。缺了同步監(jiān)管,風(fēng)險(xiǎn)因素將長(zhǎng)驅(qū)直入。
跨國(guó)企業(yè)里往往會(huì)有很多元素超出高管的控制,傳統(tǒng)風(fēng)險(xiǎn)管理的敏捷度也不足以應(yīng)付網(wǎng)絡(luò)空間活動(dòng)的危險(xiǎn)。夯實(shí)準(zhǔn)備的基礎(chǔ),高管們可以基于供公司耐受度和風(fēng)險(xiǎn)概況評(píng)估威脅界面,打造網(wǎng)絡(luò)恢復(fù)力。將企業(yè)導(dǎo)向準(zhǔn)備充足、響應(yīng)及時(shí)、恢復(fù)有效的位置,是保護(hù)資產(chǎn)安全,保護(hù)客戶、合作伙伴和雇員安全的確切方式。
所有高管挺身而出,擔(dān)負(fù)起橋接意識(shí)和行動(dòng)間空白責(zé)任的時(shí)候到了。今天這種不斷擴(kuò)張的全球網(wǎng)絡(luò)威脅態(tài)勢(shì)下,想要扛住持續(xù)的動(dòng)態(tài)的網(wǎng)絡(luò)威脅,企業(yè)需要自頂向下打造根深蒂固的安全和責(zé)任文化。