信息来源:企业网
如果人们像大多数企业的首席信息官(CIO)一样,在处理网络威胁方面可能会有一种无法确定和没有防备的感觉,那么实际上有这样的感觉是对的。
调研机构毕马威会计师事务所的Steve Bates表示:“网络攻击者比以往更具组织性和复杂性。无论这攻击是来自企业的竞争对手,流氓国家,还是激进主义团体,他们正在使用更好的工具,获得更多的资金进行攻击。这些网络犯罪分子具备对各种组织造成重大损害的手段和能力。”
尽管网络风险和信息技术安全成为各行各业日益关注的问题,但这一担忧并没有转化为有效的行动。根据哈维纳什/毕马威的2017年首席信息官的调查报告,只有21%的IT领导人表示在确定和处理目前或近期的网络攻击方面做得“非常好”,与去年相比下降了4%,与过去四年相比下降了28%。
虽然针对大型企业的网络袭击被广泛宣传,比如Petya,WannaCry和Cloudbleed,其实还有更多的网络违规事件发生,只是很少对外公布。根据调查显示,近三分之一的受访者表示在过去的两年里发生过重大的网络安全事件。而对于大型企业而言风险更大,一半以上的大企业表示最近遭遇了网络袭击。
这些网络攻击对各个组织造成了沉重的代价。每次违规事件平均损失近400万美元。这还不包括增加保险费用、声誉损害、客户关系损害,以及知识产权(IP)潜在损失的成本。
企业成功的障碍
很多公司都清楚地认识到,为了应对网络安全威胁,他们需要负责并改变运营方式。但总的来说,他们的努力在部署先进的威胁探测机制和适当的风险管理方案方面并没有起到非常有效的作用。以下是企业面临效率低下和处于脆弱状态的一些关键原因:
(1)董事会/管理层不完全了解这些问题:首席信息官和首席信息安全官通常不是董事会成员,不能参与核心对话。因此,虽然董事会和管理层知道存在一些问题,但是他们并没有充分了解该领域具有专业知识的人员需要做什么事情。因此,他们很难确定在网络保护上花费多少费用或在哪里分配资金。
Bates解释说:“各个部门都是独立运作的,而没有得到很好的沟通。网络威胁是一个战略性的企业风险问题,而不仅仅是IT安全问题。它可能会影响合规性、法律、运营、市场营销,以及第三方供应商等各方面因素。而这种攻击可能来自这些部门的任何系统或人员。”
然而,在大多数公司中,这些不同的功能通常是孤立的,互不通信,这使得设计和实现一个有效的、综合性的企业范围的网络安全程序变得更加复杂。
(2)缺乏训练有素和经验丰富的员工:由于技术在所有企业中的重要性日益增加,网络威胁越来越严重,IT人员特别是IT安全人员越来越难以招募或保留。
即使越来越多的人进入这个领域,并不是每个人都具有专业知识和经验来设计和实施适当的网络安全计划。因此,企业面临激烈的人才竞争,而且大多数首席信息官和首席信息安全官员在IT安全和风险管理的专业知识方面比较匮乏。
(3)跟踪数据:随着技术的不断增加和进步,来自全球各地的企业,第三方供应商,国内外监管机构以及各行业领域的数据越来越多。
Bates说:“大多数首席信息官不能轻易地透露他们公司数据的位置、性质、相互关系。而首席信息官需要确定如何跟踪所有这些信息,如何进行分类、保留、管理。更重要的是,保护信息是一个非常复杂的问题。”
网络风险的防范行动
最近,毕马威通过彻底改变风险管理流程,程序和运营,来帮助一家客户减轻未来的网络攻击。“这家全球性多媒体公司正在面临组织内外的网络安全威胁。作为一家知名度很高的公司,他们经常被全球各地的黑客攻击。”Bates指出,“更重要的是,他们与成千上万的第三方公司开展业务,而供应商的系统和人员会使他们面临潜在的网络攻击。”
“在对这家公司的运营、程序、安全功能以及运作方式进行了全面的审查之后,我们发现其风险管理框架与企业风险管理(ERM)框架并没有紧密相关。此外,这家公司的IT、IT安全、人力资源、法律、合规,运营部门都是在孤岛中运作。”Bates说。
毕马威帮助这家公司开发了一个综合信息风险管理程序,提供政策,流程和控制以管理数据,并将嵌入式IT安全功能嵌入到先前各个孤立的部门。Bates继续说:“有了这个新的设置,当安全事件发生时,它将触发进程,以减轻威胁。例如,通知特定的工作人员,并提供步骤以应对或减轻威胁。”
防止或减轻网络攻击的措施
首席信息官可以采取几个步骤来帮助企业阻止网络犯罪分子渗透他们的IT系统,或者最大程度地减少违规事件发生时的损害。虽然这个过程可能很复杂,但如果想为企业提供一个打击网络安全攻击的机会,这是非常重要的。
(1)在董事会中获得席位
作为首席信息官,需要向企业的董事会和高级管理人员说明网络犯罪是一个战略性的企业风险问题。阐述网络犯罪将如何影响业务,包括收入损失,罚款以及对声誉和客户关系的损害。在寻求资金时,尽可能以非技术性的语言向董事会提供选项,并以威胁情况为优先事项,使用仪表板来说明其观点。
(2)打破孤岛
企业网络安全计划要有效,需要组织内各个部门主要利益相关方的认同和合作。在设计和实施这个计划的时候,需要找到合适的人员来确保各方的需求和漏洞。
企业可能无法阻止所有的网络攻击。但是,采取合作方式并打破孤岛,可以帮助查明最大威胁可能来自何处,以及何时何地可能需要部署资源。
(3)考虑外包解决人员配置问题
如前所述,聘用和留住最好的网络安全专业人员变得越来越困难,并且代价高昂。无论是在管理还是执行/运营层面,都是如此。
哈佛纳什/毕马威2017年首席信息官调查发现,大约一半的首席信息官正在计划增加外包IT和IT安全工作量。通过这种方式,第三方可以提供专业知识和创新技术来解决这些IT问题,至少在他们自己的员工能够建立之前。企业也可以释放自己的资源,获得新的技能,并节省一些费用。
(4)使用技术来管理和保护数据
企业需要强大的数据和分析程序来加快数据管理平台的速度。对于拥有数百个或数千个第三方供应商的大型企业来说,情况尤其如此。
第三方风险是许多公司关注的最重要的新兴领域之一。大量的数据、系统和设施的接入,以及与第三方有关的人员和服务常常缺乏透明度和一致的分类。通过不断地识别、监控和管理第三方的情况,是企业主动进行安全保护的关键。
(5)将网络安全视为企业风险
这一过程应该部分包括将网络安全与其企业风险管理框架联系起来。这将使企业能够进行IT安全风险评估,帮助检测安全漏洞,量化最高安全风险,同时向高级管理人员、审计委员会以及治理和遵从功能提供透明度。下一步是将最高优先级的风险与企业的政策和控制联系起来,然后确定与这些特定风险相关的流程、人员、技术。
此外,IT功能需要整合到运营过程中,以确保整个供应商和内部生态系统正确管理事件和问题。IT常常使用不同的语言和流程来管理日常运营问题,而不是企业风险职能所使用的分类和框架。最后,这个过程需要定期审查和更新,以适应不断变化的网络风险环境。
首席信息官如何保持技术领先?
首席信息官和他们的公司需要更新和加强他们的网络安全计划。这将需要大量的资源投入,以应对越来越复杂的网络犯罪。Bates总结说:“但是,企业只要有适当的人员和流程,就可以在网络攻击之前保持领先,并减少潜在的信息和收入损失。”