在過去的一年中,全世界的企業IT團隊驚恐地看著一個又一個代價高昂且破壞力巨大的企業安全漏洞突然出現在各大頭條新聞中。但是這些吸引眼球的消息只是冰山一角。數字技術的使用范圍每天都在擴大,潛伏在暗網中的網絡犯罪分子的數量也在不斷增加,這些網絡犯罪分子已經準備好并很樂意利用他們所能發現的技術中的任何弱點。因此,正如《首席安全官》的《2018年美國網絡犯罪現狀調查》中所強調的那樣,各種形式和規模的組織都遭受了網絡攻擊的沖擊并遭受了數十億美元的經濟損失。
這些令人不快的趨勢正在使越來越多的公司更加認真地對待IT安全,這當然是好事。但問題仍然存在于治理方面。
威脅檢測更加嚴格
雖然組織在安全性方面所投入的時間和資源比以往任何時候都多,但它們仍難以掌握不斷變化的威脅形勢。事實上,調查中大約有四分之一(23%)的公司宣布,它們的損失比去年還要大。
事實上,工作場所數字化暴增的一個缺點是,犯罪分子的活動范圍也隨之擴大了。接入公司網絡的設備越多(在運用物聯網用例的一些組織中,終端可能多達數十萬或數百萬個),犯罪分子就越有可能發現入侵的方法。使事情更復雜化的是:漸漸地,市場需要建立更多的聯系——公司和客戶之間以及合作伙伴和供應商之間。但在當今的數字環境中,更大的訪達性實際上意味著更大的攻擊面。
更多樣化的基礎設施格局也帶來了另一個陷阱:這使破壞行為更難發現。2016年,從入侵到檢測到攻擊要80.6天。2017年要92.2天,2018年要108.5天。這也表明,網絡犯罪分子變得越來越狡猾并正在發動更復雜的攻擊。
加強監管框架
這一切所產生的后果是,安全事件對企業的影響比以往任何時候都大。無論是因為泄密而暴露了大量個人身份信息(PII)方面的數據,還是因為DDoS攻擊而使企業停業數小時或數天,受損的可不僅僅是收益。公司的品牌和聲譽也會受損——這兩個詞會引起客戶和股東的強烈共鳴,更不用說其他的利益相關者了,如合作伙伴和供應商。
有鑒于此,各大公司正在重新審視監管框架并對其進行重寫,這是完全可以理解的。在成功進行網絡攻擊后,接受《首席安全官》調研的84%的受訪者必須通知個人、監管機構、受影響的企業;或者是政府。2017年,這一數字僅為31%。
人們向董事介紹安全問題
根據該報告,58%的公司表示,它們的高級安全管理人員至少每季度向董事會介紹網絡問題。不讓董事會了解安全性問題的公司越來越少了,從2017年的29%下降到2018年的19%。
雖然這些公司取得了一些不可否認的進展,但它們依然任重而道遠——而且,報告指出,似乎高層管理人員才是最佳起點。受訪者表示,在所有最需要安全教育和培訓的組織中,高管們首當其沖,55%的受訪者是這樣表示的。
另一個需要改進的領域是為基本的安全性做好準備。調查發現,雖然66%的組織比去年更擔心網絡攻擊,但很多組織仍然沒有充分采取先發制人的措施或后攻擊措施。只有65%的人有正式的事件響應計劃,而這些人只有44%的人每年至少要對這個計劃做一次測試。這里的危險是顯而易見的:當攻擊發生并且必須做出反應立即進行協調時,一切都變得更加復雜,并且事情出錯的幾率更高。
處理治理問題
直接向首席執行官匯報的安全主管的比例從2017年的35%下降到去年的28%。與此同時,向首席信息官匯報的首席信息安全官的百分比從2017年的16%增加到2018年的25%。從公司治理的角度來看,這似乎是一個積極的發展。但果真如此嗎?這些領域之間可能存在利益沖突嗎?
通常,當公司采用新的應用程序、平臺或數字服務時,它們希望盡快推行,這是可以理解的。它們可能在新服務上投入了大量資金,它們希望將其投入使用,從而獲得投資回報。但有時候,在公司急于求成時,安全性和漏洞分析沒有得到充分的關注,或者至少被低估了——如果發生了原本可能避免的嚴重破壞,這可能會再次困擾公司。
為了降低這種情況發生的風險并從長遠來加強治理,組織應考慮向首席信息安全官放權,讓他們直接向首席風險官(CRO),首席執行官或董事會匯報。如果做不到這一點,出了問題,首席信息官總是受到指責。但是,真正問題并不是秋后算賬,而是一開始就考慮如何防止安全事件發生。
京公網安備 11010502049343號