這兩條新聞強調了企業在對抗網絡威脅的持續戰爭中所面臨的風險。遭到破壞的企業繼續面臨直接和??明顯的影響:停機、數據丟失、收入損失、聲譽受損和監管罰款。現在的風險和損失越來越大,越來越多的網絡安全事件經常引發消費者、投資者和其他受影響方的集體訴訟,他們聲稱,企業和董事會本身應該更加努力地保護敏感信息。
當然,很多家公司近年來都采取了一些措施來改善網絡安全實踐。Target、Equifax、Marriott和其他知名公司的數據泄露行為提高了人們的安全意識,并迫使IT決策者加強網絡安全的政策和措施。
但是數據泄露事件不斷發生,法律訴訟也是如此。問題是,許多企業仍未將網絡安全提升到真正的優先級。雖然這更多地發生在中小企業,但對于一些大型企業來說仍然是一個問題。大多數仍然依靠IT經理來制定和執行安全策略。許多企業領導者在網絡安全戰略中的參與度仍然不夠,或者沒有將網絡威脅作為企業董事會議程上的優先項目。
以下是企業領導層優先考慮網絡安全的四個基本步驟:
1.加強企業董事會的網絡安全技能
企業董事會必須在網絡安全準備中發揮積極作用。首先必須確保他們能夠勝任這項任務。
這不僅僅是讓成員與IT和業務領導就員工進行補救性討論。董事會成員需要自我教育以應對持續的網絡安全挑戰。
企業董事會可以從評估其成員的網絡技能水平開始,并聘請一名或多名具有網絡安全專業知識的董事會成員。這些網絡專家可以領導企業的小組委員會,并更直接地與業務和IT領導者就網絡安全戰略進行溝通和交流。
此外,企業董事會應每年或每半年接受一次培訓,以了解不斷發展的網絡安全形勢。精通網絡安全問題的董事會可以更好地解決風險、責任和技術問題,從而為他們必須做出的戰略決策提供信息。
2.創建自由流動的信息交流
一旦企業董事會跟上進度,管理層就有責任開發一種機制,促進關于網絡風險和戰略的一致溝通。管理人員應留出時間就與網絡安全風險相關的計劃、程序和持續問題進行密切互動。
重要的是,該機制應包括來自各個部門的利益相關者,從業務部門到IT部門,從法律人員到人力資源和營銷部門,每個人都應參與其中。雖然網絡安全技術仍將由IT控制,但戰略和實施貫穿所有部門,并一直延伸到企業董事會。
互動應該成為企業董事會持續職責的一部分,管理者應該扮演教育者和促進者的角色。
3.指定執行發起人
雖然網絡安全涉及各個部門,但重要的是要將應對計劃的制定交給某人。執行發起人不必制定整個計劃,但負責人應該是有權推動變革并在企業內保持一致的領導者。在理論上,首席信息官、首席信息安全官或首席安全官應該能夠勝任這項任務。
對于企業來說,任命一位業務負責人來擔任這一角色更有意義,因為他的工作與創收活動或運營有關,而不是與技術有關。該人員應與技術領導者接觸,但在處理任務時應將重點放在業務戰略上。技術固然重要,更重要的是最佳響應計劃的框架要圍繞如何最好地為數據泄露做好準備,并在發生這樣的事件時維持業務運營。
4.在企業中分配角色
首席信息安全官和首席安全官將繼續制定企業的安全議程,同時其他領導者也需要發揮積極作用。首席財務官必須確保在企業的所有財務流程中都有了一定程度的安全性。人力資源總監需要認真地審查入職新員工的履歷,并充當員工熟悉安全實踐的渠道。銷售主管需要促進安全,因為員工的遠程虛擬訪問可能使他們成為黑客的主要載體。
結論
在當今社會,企業不能指望完全杜絕網絡安全訴訟。但他們可以在加強網絡安全方面發揮積極作用。企業需要將網絡安全作為領導力問題,并將其擴展到整個企業,一直向上延伸到企業董事會,而這是朝著正確方向邁出的一步。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號