越來越多的網(wǎng)絡安全事件經(jīng)常引發(fā)消費者����、投資者和其他受影響方的集體訴訟��,他們聲稱,企業(yè)和董事會本身應該更加努力地保護敏感信息�。許多企業(yè)領(lǐng)導者在網(wǎng)絡安全戰(zhàn)略中的參與度仍然不夠����,或者沒有將網(wǎng)絡威脅作為企業(yè)董事會議程上的優(yōu)先項目����。本文介紹了企業(yè)領(lǐng)導層優(yōu)先考慮網(wǎng)絡安全的四個基本步驟。
企業(yè)遭遇網(wǎng)絡安全方面的訴訟如今屢見不鮮�。Capital One公司由于網(wǎng)絡安全訴訟最終賠付1.9億美元���。Ultimate Kronos集團由于涉嫌對勒索軟件攻擊的疏忽而被發(fā)起集體訴訟�,因此�����,很多企業(yè)將糟糕的網(wǎng)絡安全系統(tǒng)確定為根本問題����。
這兩條新聞強調(diào)了企業(yè)在對抗網(wǎng)絡威脅的持續(xù)戰(zhàn)爭中所面臨的風險���。遭到破壞的企業(yè)繼續(xù)面臨直接和?明顯的影響:停機���、數(shù)據(jù)丟失����、收入損失����、聲譽受損和監(jiān)管罰款。現(xiàn)在的風險和損失越來越大�,越來越多的網(wǎng)絡安全事件經(jīng)常引發(fā)消費者����、投資者和其他受影響方的集體訴訟��,他們聲稱����,企業(yè)和董事會本身應該更加努力地保護敏感信息����。
當然,很多家公司近年來都采取了一些措施來改善網(wǎng)絡安全實踐���。Target、Equifax�、Marriott和其他知名公司的數(shù)據(jù)泄露行為提高了人們的安全意識���,并迫使IT決策者加強網(wǎng)絡安全的政策和措施���。
但是數(shù)據(jù)泄露事件不斷發(fā)生�����,法律訴訟也是如此�。問題是,許多企業(yè)仍未將網(wǎng)絡安全提升到真正的優(yōu)先級。雖然這更多地發(fā)生在中小企業(yè)�,但對于一些大型企業(yè)來說仍然是一個問題�����。大多數(shù)仍然依靠IT經(jīng)理來制定和執(zhí)行安全策略。許多企業(yè)領(lǐng)導者在網(wǎng)絡安全戰(zhàn)略中的參與度仍然不夠����,或者沒有將網(wǎng)絡威脅作為企業(yè)董事會議程上的優(yōu)先項目�。
以下是企業(yè)領(lǐng)導層優(yōu)先考慮網(wǎng)絡安全的四個基本步驟:
01加強企業(yè)董事會的網(wǎng)絡安全技能
企業(yè)董事會必須在網(wǎng)絡安全準備中發(fā)揮積極作用。首先必須確保他們能夠勝任這項任務。
這不僅僅是讓成員與IT和業(yè)務領(lǐng)導就員工進行補救性討論��。董事會成員需要自我教育以應對持續(xù)的網(wǎng)絡安全挑戰(zhàn)���。
企業(yè)董事會可以從評估其成員的網(wǎng)絡技能水平開始���,并聘請一名或多名具有網(wǎng)絡安全專業(yè)知識的董事會成員�����。這些網(wǎng)絡專家可以領(lǐng)導企業(yè)的小組委員會�����,并更直接地與業(yè)務和IT領(lǐng)導者就網(wǎng)絡安全戰(zhàn)略進行溝通和交流。
此外�,企業(yè)董事會應每年或每半年接受一次培訓��,以了解不斷發(fā)展的網(wǎng)絡安全形勢。精通網(wǎng)絡安全問題的董事會可以更好地解決風險�����、責任和技術(shù)問題����,從而為他們必須做出的戰(zhàn)略決策提供信息�����。
02創(chuàng)建自由流動的信息交流
一旦企業(yè)董事會跟上進度�,管理層就有責任開發(fā)一種機制�,促進關(guān)于網(wǎng)絡風險和戰(zhàn)略的一致溝通。管理人員應留出時間就與網(wǎng)絡安全風險相關(guān)的計劃���、程序和持續(xù)問題進行密切互動。
重要的是�,該機制應包括來自各個部門的利益相關(guān)者�,從業(yè)務部門到IT部門���,從法律人員到人力資源和營銷部門�����,每個人都應參與其中��。雖然網(wǎng)絡安全技術(shù)仍將由IT控制,但戰(zhàn)略和實施貫穿所有部門�����,并一直延伸到企業(yè)董事會�����。
互動應該成為企業(yè)董事會持續(xù)職責的一部分�����,管理者應該扮演教育者和促進者的角色����。
03指定執(zhí)行發(fā)起人
雖然網(wǎng)絡安全涉及各個部門,但重要的是要將應對計劃的制定交給某人�����。執(zhí)行發(fā)起人不必制定整個計劃�,但負責人應該是有權(quán)推動變革并在企業(yè)內(nèi)保持一致的領(lǐng)導者。在理論上�����,首席信息官、首席信息安全官或首席安全官應該能夠勝任這項任務�。
對于企業(yè)來說���,任命一位業(yè)務負責人來擔任這一角色更有意義�,因為他的工作與創(chuàng)收活動或運營有關(guān)��,而不是與技術(shù)有關(guān)�。該人員應與技術(shù)領(lǐng)導者接觸�,但在處理任務時應將重點放在業(yè)務戰(zhàn)略上。技術(shù)固然重要���,更重要的是最佳響應計劃的框架要圍繞如何最好地為數(shù)據(jù)泄露做好準備,并在發(fā)生這樣的事件時維持業(yè)務運營�。
04在企業(yè)中分配角色
首席信息安全官和首席安全官將繼續(xù)制定企業(yè)的安全議程�����,同時其他領(lǐng)導者也需要發(fā)揮積極作用。首席財務官必須確保在企業(yè)的所有財務流程中都有了一定程度的安全性�����。人力資源總監(jiān)需要認真地審查入職新員工的履歷�,并充當員工熟悉安全實踐的渠道��。銷售主管需要促進安全����,因為員工的遠程虛擬訪問可能使他們成為黑客的主要載體���。
結(jié)論
在當今社會����,企業(yè)不能指望完全杜絕網(wǎng)絡安全訴訟。但他們可以在加強網(wǎng)絡安全方面發(fā)揮積極作用�����。企業(yè)需要將網(wǎng)絡安全作為領(lǐng)導力問題�����,并將其擴展到整個企業(yè)����,一直向上延伸到企業(yè)董事會���,而這是朝著正確方向邁出的一步����。
(部分內(nèi)容來源網(wǎng)絡,如有侵權(quán)請聯(lián)系刪除)
