董事會對網(wǎng)絡(luò)安全的漠視導致安全事件頻發(fā)

責任編輯：editor006 作者：phil |來源：企業(yè)網(wǎng)D1Net 2015-09-11 14:50:22 本文摘自：安全牛

調(diào)查顯示，商界領(lǐng)導層缺乏對網(wǎng)絡(luò)安全的關(guān)心。

關(guān)于網(wǎng)絡(luò)安全需求是否要與業(yè)務(wù)需求保持一致，或是安全問題是否應(yīng)該提上“董事會議程”的話題，從來都不缺少爭論。各大媒體、各路專家也似乎天天都在發(fā)布著各種各樣的研究、報告，說什么與以往相比，董事會越來越關(guān)注組織的網(wǎng)絡(luò)安全事務(wù)云云。

當然，媒體、專家了為博人眼球怎么說都是，但事實果真如此嗎？最近國外的一項2015年美國網(wǎng)絡(luò)犯罪調(diào)查，采訪了超過500名受訪者，包括企業(yè)高管、執(zhí)法部門和政府機構(gòu)等，給市場上關(guān)于網(wǎng)絡(luò)安全關(guān)注度不斷上升的一邊倒輿論潑了一瓢冷水。

該網(wǎng)絡(luò)犯罪調(diào)查發(fā)現(xiàn)，網(wǎng)絡(luò)安全意見在董事會的統(tǒng)一方面，各類組織大概呈現(xiàn)三種不同的態(tài)勢：不聞不問型、應(yīng)付了事型、有備無患型。

首先是不聞不問型和應(yīng)付了事型。調(diào)查顯示，近三分之一約28%的受訪者表示，他們的安全管理層從未就網(wǎng)絡(luò)安全發(fā)表過相關(guān)報告；四分之一約26%的信息安全主管或組織內(nèi)與之對應(yīng)的人，每年都會在董事會發(fā)布一次年度網(wǎng)絡(luò)安全報告。

除此之外，只有大約30%的受訪者表示，他們的安全高管會定期與董事會進行接洽，提供季度網(wǎng)絡(luò)安全報告。

毫不疑問，與小型組織相比，大型組織的信息安全高管們更有可能做出網(wǎng)絡(luò)安全季報。調(diào)查中，三分之一的小型企業(yè)受訪者表示，他們從未就網(wǎng)絡(luò)安全工作向董事會提過相關(guān)建議。然而，更令人震驚的是，18%的大型企業(yè)網(wǎng)絡(luò)安全高管也都從未向董事會提過相關(guān)建議。

這對于網(wǎng)絡(luò)安全而言，絕非什么好消息。許多的安全專家都認為，董事會必須是信息安全決策鏈的一部分，并且網(wǎng)絡(luò)安全應(yīng)當被視為是全企業(yè)范圍的風險——而不僅僅是由IT部門處理的IT風險{加黑}。然而不幸的是，這恰恰是許多組織對網(wǎng)絡(luò)安全的看法。

事實上，只有42%的受訪者將網(wǎng)絡(luò)安全看作是公司管理問題，而有42%的受訪者甚至認為網(wǎng)絡(luò)安全不屬于公司管理問題。說到董事會與網(wǎng)絡(luò)安全的關(guān)系，最終的結(jié)果是在30%的組織中董事會成員或董事從未積極參與過網(wǎng)絡(luò)安全，而董事會對網(wǎng)絡(luò)安全事宜積極參與的組織僅有25%。

不幸的是，在許多組織中網(wǎng)絡(luò)安全完全是脫節(jié)的感覺。一方面，領(lǐng)導層大談特談網(wǎng)絡(luò)安全有多么多么重要，另一方面，網(wǎng)絡(luò)安全部門卻不停報怨缺少充分保障組織網(wǎng)絡(luò)安全所需的工具和資源。

黑石集團（Blackstone）高級副總裁及首席信息安全官杰伊·利克（Jay Leek）曾無數(shù)次地談到董事會和網(wǎng)絡(luò)安全的重要關(guān)系。

作為全球投資和咨詢企業(yè)，黑石集團投資了許多尋求網(wǎng)絡(luò)安全指導的企業(yè)。杰伊·利克經(jīng)常與黑石集團的董事會及黑石集團投資組合中其他企業(yè)的董事會談?wù)撌紫畔踩俚哪芰栴}。

杰伊·利克說，與董事會溝通不能搞得太高深復雜，董事會需要的是對網(wǎng)絡(luò)安全現(xiàn)狀的現(xiàn)實理解。

“很多時候，我都要向董事會解釋網(wǎng)絡(luò)安全挑戰(zhàn)的本質(zhì)。我跟他們講，要想阻止一切是不可能的，總會有些威脅趁虛而入，所以為什么說能夠有效的對網(wǎng)絡(luò)安全威脅作出響應(yīng)才是最重要的。要讓董事會理解這一點至關(guān)重要。”

下個月，杰伊·利克將在黑石公司搞一場網(wǎng)絡(luò)安全報告會，他的目標就是保持信息簡單化。

“報告包含四張幻燈片，其中兩張用來解釋網(wǎng)絡(luò)安全的現(xiàn)實狀況，希望他們能夠在我試圖解釋他們需要做什么之前，能夠理解并專注于問題的本質(zhì)和量級。”

“我相信我們作為安全專業(yè)人士，也包括我自己在內(nèi)，都曾由于我們把簡單的事情搞復雜而使我們整個行業(yè)受損。我們有瘋狂的框架、數(shù)百種不同的控制機制和最佳實踐。我們在有1200個供應(yīng)商，認為我們需要所有這些瘋狂而神奇的東西才得以有望保護自己的安全。其實我們真的不需要，并且我對與董事會溝通以及對我們的溝通進行簡化的原則深信不疑。”

只要公司高層與網(wǎng)絡(luò)安全對上頻率，協(xié)調(diào)一致，網(wǎng)絡(luò)安全的問題才能夠得到有效的解決。我們要做的，就是把事情簡單化，讓董事會理解并參與進來。

關(guān)鍵字：網(wǎng)絡(luò)安全董事會成員