我們采訪了網絡安全和合規咨詢公司 Servadus 的首席執行官兼創始人羅恩·托斯托 (Ron Tosto),就這一話題詢問了他的一些見解。
阻礙公司考慮開展危機管理的常見問題有哪些?
最常見的障礙是缺乏來自企業高管層的支持。如果高管層看不到進行危機管理的理由,那么危機管理就不是公司的首要工作。這種情況與危機準備工作相關,從而就形成了公司的文化。
對于企業來說,工作日程安排也是一個非常常見的挑戰。執行危機管理措施需要企業最大程度的參與。
最后,危機管理準備工作會對財務產生影響。那些資金比較緊張的企業可能不會拿錢為危機事件做準備。
在涉及到危機管理計劃和實施計劃時,最關鍵的要素/人/團隊是什么?
在事件響應計劃中,每個角色對于應對事件成功與否都至關重要。但最重要的角色是網絡運營中心或安全運營中心,其職責是發現攻擊事件,然后向企業發出警報。
如果某人有機會發現某一事件,但事實上卻沒有發現,則其他人就不會做出應對。在勒索事件過程中,更多的團隊成員要參與,而且要知道相互支持。每個最終用戶都有可能發現可疑行為,然后進行報告。保障公司安全作為企業文化的一部分,團隊成員必須了解攻擊事件的跡象,而且得到鼓勵去啟動響應計劃的第一步。
危機管理計劃是否可以完全外包給外部專家?
危機管理工作的組成要素可以包括外部專家;法律顧問、公關公司和司法調查員都是可以雇傭的人員。
就危機管理而言,首席執行官可以雇傭危機管理顧問,但公司的領導者永遠不應忽視的一個事實是,公司雇主在危機期間所做的決定是與結果息息相關的。
事件響應和業務連續性計劃應多久修改一次,以及應該多久執行一次?
對于領導層及其運營模式沒有發生重大變化的企業而言,應每年對事件響應計劃進行一次審查和測試。
企業收購后合并運營、遷移到云環境以及調整 VPN 基礎設施以支持遠程辦公人員,這些都是修改業務連續性計劃的好時機。
每當制定出一個新的業務連續性計劃時,都需要進行事件響應演習。如果在事件響應計劃中擔任主要角色的人員發生變動,則至少應對計劃進行最低程度的測試。對所有新員工,包括技術人員和領導人員,必須進行實際演習意識培訓。
為網絡安全危機制定計劃很重要,但首先是實施降低風險的策略,這也很重要。哪些重要的事情需要記住?
如何為勒索軟件攻擊做準備是一個常被問及的問題。在我看來,最好的做法是檢查您的安全控制清單,以防止黑客控制您的網絡。
Servadus 等公司可提供“勒索軟件準備情況評估服務”,幫助企業領導層發現自身當前所面臨的風險。當然,制定最新的事件響應和業務連續性計劃也是該評估服務的一部分內容。在企業外部,真正的價值在于修復了網絡安全控制措施的薄弱環節。
此外,企業可實施一個框架,以有助于實施安全控制措施和具有可持續性。許多企業努力保持合規性和維護其安全控制措施,但在檢查其各渠道的安全措施已部署到位后的 3-6 個月,他們仍很容易受到攻擊。
長期戰略涉及到真正具備可持續性的安全控制措施。該服務框架還使企業可以評估自身所面臨的威脅和所使用的系統軟件存在的漏洞。這是網絡風險的基本公式:威脅 + 漏洞 = 風險。除了制定網絡安全框架戰略之外,企業還必須能夠了解一些漏洞和威脅。
如果企業領導者認為其中任何一個要素都過于昂貴的話,則他們通常會認為保險公司可以為此進行補償。但企業領導者們應該看看他們保險單上的細則;事實是,即使您已購買了網絡安全保險,如果您沒有為網絡攻擊做好準備工作,則保險公司通常也不會賠償因網絡攻擊而造成的損失。
一些公司為了想證明自己放棄對網絡攻擊事件進行準備這一做法的合理性,他們會說網絡攻擊所造成的損失通常低于開展防護和準備工作所付出的成本。現實情況是,大型企業現在需要支付的贖金高達數百萬美元;因勒索軟件攻擊而需支付 400 萬美元的事件已發生過多次。即使一家企業為維持業務運營而花費 100 萬美元做應對攻擊的準備工作,但它仍然比支付給網絡攻擊者的費用少 300 萬美元。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號