網絡勒索攻擊的增加迫使企業對此類威脅給予關注，那么對于CISO來說，在企業防御此類攻擊時其能夠起到的作用有哪些呢？

Mike O. Villegas：風險是確立適當的保護水平和機制，以保護企業資產的鎮流器。企業是否會成為勒索攻擊的目標取決于知識產權和企業數據的價值和保護。

企業應該為被勒索的信息和計算機付費嗎？道德上來講，不應該。然而實際上，考慮到資產的重要性，又不得不去做。

企業為勒索軟件所害并支付贖金往往是缺乏備份或控制不足所導致的。如果不是這樣，系統依舊運作正常，仍遭遇復雜的勒索攻擊，如事件一經公開企業則更為關注企業的名聲或財務風險。CISO需要確保企業安全項目是基于風險、定期測試并且起作用的，以防遭到勒索攻擊。這意味著CISO需要監督的具體任務，包括：

對所有關鍵數據和知識產權執行日常增量完整備份；

通過每月的漏洞掃描和年度滲透測試來確保強大的網絡安全性；

確保所有服務器和終端用戶設備（如工作站、筆記本和IoT設備）上有惡意軟件檢測和病毒防護產品；

確保對任一應用進行基于RBAC的應用控制，提供對關鍵數據和知識產權的訪問；

確保加密、哈希或標記用于關鍵數據和知識產權，并具備強有力的密鑰管理程序；

確保有全面的監控（如SIEM何文件完整性監控）以對IT基礎設施和生產環境中的網絡安全和IT人員異常變化作警告；

要求關鍵電子商務和關鍵遺留應用上的所有開發人員每年至少進行一次關于安全編碼實踐（基于OWASP前10大漏洞）的培訓；

確保企業文化中已涵蓋安全意識計劃，側重社會工程攻擊、釣魚攻擊、帶有安全意識的客戶禮儀和基本的終端用戶網絡安全；

確保企業的事件響應計劃，包括員工培訓，特別是培訓主管和行政管理員，以正確處理電子郵件或電話勒索贖金的要求。

并非所有的企業都會受到網絡勒索攻擊，但所有的企業都有可能成為目標，對于那些沒有做好準備的尤為如此。對于CISO來說，關鍵在于確保足夠的控制、培訓、監控和恢復程序，這樣，就算有勒索情況的出現也只是帶來了麻煩而不能構成關鍵業務的威脅。