作者:Veeam企业战略副总裁DaveRussell&产品战略高级总监RickVanover
日复一日,年复一年,股东网络诉讼的新闻层出不穷。CapitalOne公司以1.9亿美元的价格达成和解。UltimateKronos集团因涉嫌在一次勒索软件攻击中存在过失,被集体诉讼,认为糟糕的网络安全系统是问题的根源。
近几月的这两则新闻凸显了公司在这场持续的抵御网络威胁的战争中所面临的风险。被入侵的公司继续面临着直接和明显的影响:宕机、数据丢失、收益损失、声誉受损和监管罚款。但是,现在风险越来越大。越来越多的网络事件引发了消费者、投资者和其他受影响方的集体诉讼,他们认为公司,以及董事会本身,应该更加努力地保护敏感信息。
当然,近年来几乎每家公司都采取了一些措施来改善网络安全实践。针对Target、Equifax、Marriott和其他知名公司的高调入侵行为提高了人们的安全意识,并迫使IT决策者加固企业网络并加强政策。
但是入侵不断出现,诉讼也层出不穷。问题是,许多公司仍然没有把网络安全提高到一个真正的组织级优先事项。虽然这更多是小企业的情况,但对于一些大型企业来说,这也是一个问题。大多数企业仍然依靠后台的IT经理来制定和实施安全战略。许多企业还没有让企业领导人充分参与到网络安全战略中来,也没有将网络威胁列入董事会议程。
现在是时候让领导人参与进来了。以下是公司领导层优先考虑网络安全的四个基本步骤。
加强董事会的网络技能
董事会需要在网络安全的准备工作方面发挥积极作用,但首要是确保领导们能够胜任这项任务。
这不仅仅是让董事会成员与IT和业务负责人进行补救性讨论,而是董事会成员需要自我学习以应对持续的网络安全挑战。
董事会可以从评估其成员的网络技能水平开始,聘请一名或多名具有网络事务专业知识的成员。这些网络专家可以领导小组委员会,并可以就网络战略与业务和IT领导人更直接地互动。
其次,整个董事会应该每年或每半年接受一次培训,以了解不断演变的网络安全状况。一个精通网络问题的董事会可以更好地处理风险、责任和技术问题,这会为他们将来必须做出的战略决策提供信息支持。
创建一个自由流动的信息交流平台
一旦董事会掌握了情况,管理层就有责任制定一个机制,促进有关网络风险和战略的及时沟通以协调一致。管理人员应该留出时间,就与网络安全风险有关的计划、程序和持续的问题进行充分的互动。重要的是,该机制应包括来自不同部门的利益相关者——从业务到IT到法律人员到人力资源和市场营销的所有人。虽然网络安全技术仍将由IT部门控制,但战略和实施涉及所有部门,并一直延伸到董事会。
保持密切互动应该成为董事会持续责任的一部分,并且管理者应该起到教育者和促进者的作用。
指定一个执行发起人
虽然网络安全的参与是跨部门的,但重要的是把创建响应计划的工作交到一个人手中。这个人不一定要制定整个计划。但他/她应该是一个有权力推动变革并使整个组织达成一致的领导者。理论上,首席信息官、首席信息安全官或首席安全官都是完成这项任务的最佳人选。
对于一个组织来说,在这个角色上任命一位业务领导者更加有意义——这个人的工作与创收或运营相关,而不是与技术相关。他/她应与技术领导者接触,但要以业务战略为重点来推动这项任务。技术至关重要,但最佳响应计划的框架应围绕如何最好地为抵御入侵做好准备,并在受到攻击时维持正常运营。
在组织内分配角色
虽然首席安全官和首席信息安全官将继续制定公司的安全议程,但其他领导人也需要发挥积极作用。首席财务官必须确保在公司所有的财务流程都有一定程度的安全保障。人力资源总监需要更认真地审查新员工,并充当让员工对安全措施感到放心的渠道。销售主管需要提高安全卫生水平,特别是对于旅行代理商,他们的虚拟访问使他们成为黑客攻击的主要载体。
结论
鉴于当今这个好讼的社会,公司不能指望完全杜绝网络诉讼,但可以在抵御它们方面发挥积极作用。让网络安全作为领导层需要关注的问题,再将其扩展到整个组织,一直到董事会,这是朝着正确方向迈出的一步。