老板最关心的安全问题,别说你1个也不了解
发布时间:2022-07-01 14:07:25 所属栏目:安全 来源:互联网
导读:数据泄露、勒索软件攻击加剧了企业董事会对网络安全的关注。安全领导表示,董事会越来越多地参与到安全事务中,对网络问题有了更深刻的理解,并针对风险暴露和管理风险的方法提出了更复杂的问题。 1. 网络问责 风险管理公司VigiTrust的首席执行官、新书《董
|
数据泄露、勒索软件攻击加剧了企业董事会对网络安全的关注。安全领导表示,董事会越来越多地参与到安全事务中,对网络问题有了更深刻的理解,并针对风险暴露和管理风险的方法提出了更复杂的问题。 1. 网络问责 风险管理公司VigiTrust的首席执行官、新书《董事会里的网络大象》的作者Mathieu Gorge指出,首席信息安全官应做好更充分的准备,以回答董事会有关网络问责的问题。Gorge介绍说,“网络问责”指的是一个部门有能力证明他们有良好的网络环境,如果出了问题,他们可以追溯所有问题,定位到某个具体的事件、人或者群体。 首席信息安全官应准备好解释什么是网络问责,企业为什么要关注它,怎样开始网络问责之旅,以及它包括什么。Gorge说:“这只是为了证明我们能够应对网络攻击,而且我们有相应的计划,还是不止于此?涉及到谁,花费多少,我们真的需要吗?” 2. 疫情及以后的安全态势 商业支付服务公司Fleetcor的首席信息官James Edgar表示,疫情后人们转向远程工作,从而导致董事会在网络安全方面提出的问题更加备受关注。 从IT和整个业务部门的角度来看,很多直接关注的焦点都集中在转向远程工作将怎样影响业务运营方式上。这些问题涉及到企业是否有能力将大多数员工转移到远程工作模式,并且仍然能够为业务提供支持。 Edgar说,他从董事会收到的问题包括与业务连续性有关的问题,以及疫情来袭时对已经开始实施的主要IT项目会有什么影响等。“我们还能把我们最为重要的大事做好吗?我们是否能维持当前的安全以及合规级别?我们的基准是什么,当我们走出新冠疫情时,我们还能达到这些标准吗?” 随着事态的稳定,重点已经转移到企业在后疫情世界中维持其安全态势的能力,以及将采取何种投资方式来实现这种能力。Edgar说,对他来说行之有效的一种策略是,每季度向董事会提供关于安全领域威胁形势和重要趋势的最新信息。他介绍说:“我们定期向他们提供我们在勒索软件、端点保护、网络监控方面所看到的情况以及我们所做工作的最新信息。在安全问题上,我们Fleetcor不能独善其身,而是放眼世界,兼济天下。” 3. 安全策略 Youngblood说,与几年前相比,董事会对网络安全的思考更具战略性。很多董事将网络安全视为自己的本职工作,也是应尽的责任和忠诚义务。 Youngblood说:“你今天遇到的问题是,怎样处理那些不受控制的事情,比如第三方的。”如今有这么多的外包业务,董事们想听听企业网络安全投资是怎样受到保护的。他们想了解企业从中得到了什么,以及是否有影响业务目标的因素。 Youngblood说,董事会喜欢听到企业应对网络事件的准备情况,以及在威胁成为重大问题之前是否有控制措施检测到威胁。他们想知道,网络安全是否与数字转型链紧密相连,安全是否被内置到每一个步骤中,而不是最后才加上去。他说,值得注意的是,董事会越来越想了解企业还没有进行但可能对网络风险产生不利影响的投资。 4. 对照行业最佳实践进行基准测试 云服务提供商Netenrich的首席信息官Brandon Hoffman指出,董事会对他们企业的安全状况与同行相比有多好或多差非常感兴趣。其中一个原因可能是,在出现泄露事件时,企业的安全措施往往会与行业最佳实践或同行采用的做法进行比较。 Hoffman说:“最高层对了解与行业相关的风险有着浓厚的兴趣。”这种比较本身往往对营造更安全、风险更小的环境没有多大作用。即便如此,很多董事还是希望这样做,因为在业务环境中,有效衡量安全性的方法很少。 Hoffman说:“首席信息安全官犯的最大错误之一是没有将安全相关风险与业务风险联系起来。相反,报告往往围绕着合规框架和技术度量展开,这些充其量只是日常工作的指标。这确实无助于高管或者董事会理解对业务的影响。” 5. 抵御网络攻击 董事会不仅在战略和企业风险管理层面上对网络安全越来越感兴趣,而且他们仍然深入参与与企业抵御和应对网络攻击能力相关的工作。Thycotic首席信息安全官顾问兼首席安全科学家Joseph Carson评论说,他们想知道你是如何使用人员、流程和技术来尽可能降低风险的,同时还要在工作效率和安全性之间保持适当的平衡。 董事会可能会问及,首席信息安全官需要准备解释的问题包括:关键业务服务暴露给勒索软件等威胁的风险,以及为降低勒索软件或其他攻击对业务服务的影响而采取的措施等。他说:“哪种威胁最有可能影响业务,以及有哪些财务风险,降低风险有哪些选择。我们的网络风险差距有多大,比如降低风险的成本与不采取任何措施的成本相比如何?” 准备好回答有关事件响应计划的问题,以及你是否已针对极有可能严重影响业务的每一种威胁进行了测试。Carson说:“我们应采取什么措施来细分业务的各个部分并控制访问权限?我们超越了哪些法规和合规要求,满足了哪些,未能满足哪些,以及这些法规和合规要求怎样与业务网络风险相适应?” (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号