董事會對網(wǎng)絡(luò)安全的漠視導(dǎo)致安全事件頻發(fā)

責(zé)任編輯:editor006

作者:phil

2015-09-11 14:50:22

摘自:安全牛

關(guān)于網(wǎng)絡(luò)安全需求是否要與業(yè)務(wù)需求保持一致,或是安全問題是否應(yīng)該提上“董事會議程”的話題,從來都不缺少爭論。除此之外,只有大約30%的受訪者表示,他們的安全高管會定期與董事會進行接洽,提供季度網(wǎng)絡(luò)安全報告。

調(diào)查顯示,商界領(lǐng)導(dǎo)層缺乏對網(wǎng)絡(luò)安全的關(guān)心。

關(guān)于網(wǎng)絡(luò)安全需求是否要與業(yè)務(wù)需求保持一致,或是安全問題是否應(yīng)該提上“董事會議程”的話題,從來都不缺少爭論。各大媒體、各路專家也似乎天天都在發(fā)布著各種各樣的研究、報告,說什么與以往相比,董事會越來越關(guān)注組織的網(wǎng)絡(luò)安全事務(wù)云云。

當(dāng)然,媒體、專家了為博人眼球怎么說都是,但事實果真如此嗎?最近國外的一項2015年美國網(wǎng)絡(luò)犯罪調(diào)查,采訪了超過500名受訪者,包括企業(yè)高管、執(zhí)法部門和政府機構(gòu)等,給市場上關(guān)于網(wǎng)絡(luò)安全關(guān)注度不斷上升的一邊倒輿論潑了一瓢冷水。

該網(wǎng)絡(luò)犯罪調(diào)查發(fā)現(xiàn),網(wǎng)絡(luò)安全意見在董事會的統(tǒng)一方面,各類組織大概呈現(xiàn)三種不同的態(tài)勢:不聞不問型、應(yīng)付了事型、有備無患型。

首先是不聞不問型和應(yīng)付了事型。調(diào)查顯示,近三分之一約28%的受訪者表示,他們的安全管理層從未就網(wǎng)絡(luò)安全發(fā)表過相關(guān)報告;四分之一約26%的信息安全主管或組織內(nèi)與之對應(yīng)的人,每年都會在董事會發(fā)布一次年度網(wǎng)絡(luò)安全報告。

除此之外,只有大約30%的受訪者表示,他們的安全高管會定期與董事會進行接洽,提供季度網(wǎng)絡(luò)安全報告。

毫不疑問,與小型組織相比,大型組織的信息安全高管們更有可能做出網(wǎng)絡(luò)安全季報。調(diào)查中,三分之一的小型企業(yè)受訪者表示,他們從未就網(wǎng)絡(luò)安全工作向董事會提過相關(guān)建議。然而,更令人震驚的是,18%的大型企業(yè)網(wǎng)絡(luò)安全高管也都從未向董事會提過相關(guān)建議。

這對于網(wǎng)絡(luò)安全而言,絕非什么好消息。許多的安全專家都認(rèn)為,董事會必須是信息安全決策鏈的一部分,并且網(wǎng)絡(luò)安全應(yīng)當(dāng)被視為是全企業(yè)范圍的風(fēng)險——而不僅僅是由IT部門處理的IT風(fēng)險{加黑}。然而不幸的是,這恰恰是許多組織對網(wǎng)絡(luò)安全的看法。

事實上,只有42%的受訪者將網(wǎng)絡(luò)安全看作是公司管理問題,而有42%的受訪者甚至認(rèn)為網(wǎng)絡(luò)安全不屬于公司管理問題。說到董事會與網(wǎng)絡(luò)安全的關(guān)系,最終的結(jié)果是在30%的組織中董事會成員或董事從未積極參與過網(wǎng)絡(luò)安全,而董事會對網(wǎng)絡(luò)安全事宜積極參與的組織僅有25%。

不幸的是,在許多組織中網(wǎng)絡(luò)安全完全是脫節(jié)的感覺。一方面,領(lǐng)導(dǎo)層大談特談網(wǎng)絡(luò)安全有多么多么重要,另一方面,網(wǎng)絡(luò)安全部門卻不停報怨缺少充分保障組織網(wǎng)絡(luò)安全所需的工具和資源。

黑石集團(Blackstone)高級副總裁及首席信息安全官杰伊·利克(Jay Leek)曾無數(shù)次地談到董事會和網(wǎng)絡(luò)安全的重要關(guān)系。

作為全球投資和咨詢企業(yè),黑石集團投資了許多尋求網(wǎng)絡(luò)安全指導(dǎo)的企業(yè)。杰伊·利克經(jīng)常與黑石集團的董事會及黑石集團投資組合中其他企業(yè)的董事會談?wù)撌紫畔踩俚哪芰栴}。

杰伊·利克說,與董事會溝通不能搞得太高深復(fù)雜,董事會需要的是對網(wǎng)絡(luò)安全現(xiàn)狀的現(xiàn)實理解。

“很多時候,我都要向董事會解釋網(wǎng)絡(luò)安全挑戰(zhàn)的本質(zhì)。我跟他們講,要想阻止一切是不可能的,總會有些威脅趁虛而入,所以為什么說能夠有效的對網(wǎng)絡(luò)安全威脅作出響應(yīng)才是最重要的。要讓董事會理解這一點至關(guān)重要。”

下個月,杰伊·利克將在黑石公司搞一場網(wǎng)絡(luò)安全報告會,他的目標(biāo)就是保持信息簡單化。

“報告包含四張幻燈片,其中兩張用來解釋網(wǎng)絡(luò)安全的現(xiàn)實狀況,希望他們能夠在我試圖解釋他們需要做什么之前,能夠理解并專注于問題的本質(zhì)和量級。”

“我相信我們作為安全專業(yè)人士,也包括我自己在內(nèi),都曾由于我們把簡單的事情搞復(fù)雜而使我們整個行業(yè)受損。我們有瘋狂的框架、數(shù)百種不同的控制 機制和最佳實踐。我們在有1200個供應(yīng)商,認(rèn)為我們需要所有這些瘋狂而神奇的東西才得以有望保護自己的安全。其實我們真的不需要,并且我對與董事會溝通 以及對我們的溝通進行簡化的原則深信不疑。”

只要公司高層與網(wǎng)絡(luò)安全對上頻率,協(xié)調(diào)一致,網(wǎng)絡(luò)安全的問題才能夠得到有效的解決。我們要做的,就是把事情簡單化,讓董事會理解并參與進來。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號