安全漏洞似乎總是會出現在新聞當中,但只有少數組織正在通過積極的減少網絡風險來保護自己免受這些威脅。波耐蒙研究所的研究顯示,63%的CISO會不定期的向其組織的董事會匯報,而40%根本不向董事會匯報。大多數企業仍然對網絡安全采取著被動應對的方式--即只在事件發生時才進行處理,而不是提前規劃--這使得它們將更容易受到網絡犯罪的攻擊,并使它們的數字化轉型戰略面臨風險。
而無論它們是通過勒索軟件、數據盜竊還是DDoS攻擊發生的,安全事件都可能給任何組織(無論大小)帶來麻煩--一些代價高昂、破壞聲譽的麻煩。
缺乏董事會的參與和問責
盡管如今的公司正越來越依賴于IT系統的正常運行,但企業高管和董事會的成員仍然堅持他們應對網絡風險的策略。40%的CISO從來不向董事會報告,并且研究結果也表明,普遍缺乏問責制。盡管網絡犯罪呈直線上升的趨勢,而且打擊成本也越來越高,但也只有14%的人在安全漏洞發生后會向董事會報告--通常是在為時已晚的時候。
但是,即使公司董事們了解公司面臨的緊迫的網絡安全問題,許多人也往往不會采取行動。在波耐蒙的調查中,近三分之一的CISO表示,他們的董事會或首席執行官決定或批準了公司可接受的網絡風險水平,其中只有21%的人表示,他們的董事會或首席執行官要求在并購期間進行網絡安全盡職調查。當然,在每一筆新的并購交易中,該公司都有可能承擔更多的網絡責任,因為如果出現安全漏洞,這些網絡責任就可能會導致大量的監管和法律罰款。以一家被大型企業收購的創新型初創企業為例:例如,GDPR會根據該公司的總營收來計算罰款,而該公司的總營收通常會顯著高于新收購的實體的總收入。
總體而言,調查結果顯示,高管層和董事會成員沒有在公司內部承擔足夠的網絡風險責任。因此,網絡風險正被淡化和下放,而企業高管卻不知道發生了什么,不知道關鍵的企業數據、基礎設施和其他數字資產可能面臨著怎樣的危險。這種松懈的態度向公眾傳遞的信息不是積極的。
預防而不是被動應對網絡風險
大多數組織并不會定期進行監控和分析,而是抱著最好的希望,然后總是在事件發生后才做出反應。例如,近70%的CISO表示這是他們組織處理網絡安全的方式,63%的CISO稱他們可以使用更好的監控工具。換句話說,這不僅僅是因為公司在網絡安全方面采取了松懈的做法;他們中的許多人也或多或少對他們面臨的真正威脅一無所知。超過一半的受訪者承認,是他們的IT安全設備在覆蓋方面存在漏洞或其他缺陷,使他們成為了網絡罪犯的目標。
事實上,只有24%的受訪者認為他們的測量和度量方案是“成熟的”,而30%的人認為是“不完全的”。剩下的似乎則是混亂的程序問題。此外,多達40%的CISO承認他們沒有量化或監控他們的網絡風險態勢,只有39%的CISO將他們的發現提交給了董事會。
考慮到龐大的數據量和開放基礎設施以實現價值鏈和供應鏈互聯的商業需求,追蹤網絡威脅正在變得越來越困難。然而,當涉及到網絡攻擊時,為了將損害降到最低程度,緩解的速度是至關重要的。再加上網絡專家的極度缺乏,人們產生了一種錯覺,以為投入人力就能奏效。此外,人為錯誤仍然是IT服務鏈失敗的主要原因之一。為了確保對威脅和警報的即時響應,組織還必須依靠自動化和機器學習。
需要新的企業心態
許多組織已經升級了他們的IT基礎設施,并投資于新的技術、應用程序和數字平臺。但與此同時,組織、流程和治理模式都是過時的,無法跟上時代的步伐。將近一半的組織沒有測量或跟蹤他們的網絡風險,而那些有測量或跟蹤的組織中,也沒有多少人會讓董事會知道他們發現了什么。
雖然這種方法在模擬世界中可能會有效,但在數字化的時代,它會導致不必要的風險增加,而且不再適用。數字業務會不可避免地與新的風險聯系在一起,因為收入、利潤和聲譽將越來越依賴于有彈性的IT運營。因此,CISO的職能需要更多的花時間在董事會上。忽視這一點或將其委托出去都是錯誤的。
我們需要的是一種范式轉變--一種新的企業心態,重視并尊重網絡彈性,并將IT服務和數據的完整性和可用性理解為數字經濟中的差異化因素。但波耐蒙說,要想讓這一切都奏效,唯一的辦法是公司董事會能夠對它優先進行考慮。
“企業文化總是在頂層形成的。如果企業領導人不積極致力于確保強有力的網絡安全態勢,就會發出這樣的信息:網絡安全不是一個關鍵任務,”波耐蒙研究所的創始人兼董事長Larry Ponemon表示。“當公司遭遇數據泄露或其他安全事件時,董事會和高管層通常也會受到攻擊,因此他們必須積極主動地識別和彌補安全漏洞。雖然大多數公司都有一名高管負責準確確定其網絡安全戰略的效力,但他們也需要定期向高層領導和董事會通報這些發現。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號