企业遭遇网络安全方面的诉讼如今屡见不鲜。Capital One公司由于网络安全诉讼最终赔付1.9亿美元。Ultimate Kronos集团由于涉嫌对勒索软件攻击的疏忽而被发起集体诉讼,因此,很多企业将糟糕的网络安全系统确定为根本问题。 这两条新闻强调了企业在对抗网络威胁的持续战争中所面临的风险。遭到破坏的企业继续面临直接和明显的影响:停机、数据丢失、收入损失、声誉受损和监管罚款。现在的风险和损失越来越大,越来越多的网络安全事件经常引发消费者、投资者和其他受影响方的集体诉讼,他们声称,企业和董事会本身应该更加努力地保护敏感信息。 当然,很多家公司近年来都采取了一些措施来改善网络安全实践。Target、Equifax、Marriott和其他知名公司的数据泄露行为提高了人们的安全意识,并迫使IT决策者加强网络安全的政策和措施。 但是数据泄露事件不断发生,法律诉讼也是如此。问题是,许多企业仍未将网络安全提升到真正的优先级。虽然这更多地发生在中小企业,但对于一些大型企业来说仍然是一个问题。大多数仍然依靠IT经理来制定和执行安全策略。许多企业领导者在网络安全战略中的参与度仍然不够,或者没有将网络威胁作为企业董事会议程上的优先项目。 以下是企业领导层优先考虑网络安全的四个基本步骤:
1. 加强企业董事会的网络安全技能
企业董事会必须在网络安全准备中发挥积极作用。首先必须确保他们能够胜任这项任务。 这不仅仅是让成员与IT和业务领导就员工进行补救性讨论。董事会成员需要自我教育以应对持续的网络安全挑战。 企业董事会可以从评估其成员的网络技能水平开始,并聘请一名或多名具有网络安全专业知识的董事会成员。这些网络专家可以领导企业的小组委员会,并更直接地与业务和IT领导者就网络安全战略进行沟通和交流。 此外,企业董事会应每年或每半年接受一次培训,以了解不断发展的网络安全形势。精通网络安全问题的董事会可以更好地解决风险、责任和技术问题,从而为他们必须做出的战略决策提供信息。
2. 创建自由流动的信息交流
一旦企业董事会跟上进度,管理层就有责任开发一种机制,促进关于网络风险和战略的一致沟通。管理人员应留出时间就与网络安全风险相关的计划、程序和持续问题进行密切互动。 重要的是,该机制应包括来自各个部门的利益相关者,从业务部门到IT部门,从法律人员到人力资源和营销部门,每个人都应参与其中。虽然网络安全技术仍将由IT控制,但战略和实施贯穿所有部门,并一直延伸到企业董事会。 互动应该成为企业董事会持续职责的一部分,管理者应该扮演教育者和促进者的角色。
3. 指定执行发起人
虽然网络安全涉及各个部门,但重要的是要将应对计划的制定交给某人。执行发起人不必制定整个计划,但负责人应该是有权推动变革并在企业内保持一致的领导者。在理论上,首席信息官、首席信息安全官或首席安全官应该能够胜任这项任务。 对于企业来说,任命一位业务负责人来担任这一角色更有意义,因为他的工作与创收活动或运营有关,而不是与技术有关。该人员应与技术领导者接触,但在处理任务时应将重点放在业务战略上。技术固然重要,更重要的是最佳响应计划的框架要围绕如何最好地为数据泄露做好准备,并在发生这样的事件时维持业务运营。
4. 在企业中分配角色
首席信息安全官和首席安全官将继续制定企业的安全议程,同时其他领导者也需要发挥积极作用。首席财务官必须确保在企业的所有财务流程中都有了一定程度的安全性。人力资源总监需要认真地审查入职新员工的履历,并充当员工熟悉安全实践的渠道。销售主管需要促进安全,因为员工的远程虚拟访问可能使他们成为黑客的主要载体。
结论
在当今社会,企业不能指望完全杜绝网络安全诉讼。但他们可以在加强网络安全方面发挥积极作用。企业需要将网络安全作为领导力问题,并将其扩展到整个企业,一直向上延伸到企业董事会,而这是朝着正确方向迈出的一步。
转载请注明:IT运维空间 » 安全防护 » 企业领导层优先考虑网络安全的四项举措
发表评论