網絡安全是個商業問題,不僅僅是個技術問題。董事會對利益相關者和投資人負有信託責任,應從上至下主導整個公司的網絡安全監管與領導工作,主動監督保護敏感數據與客戶信息所用的方式方法。
作為安全過程的一部分,董事會需瞭解威脅態勢和高價值目標。在考慮公司哪些信息對網絡罪犯而言具有價值時,董事們往往會關注數據和商業敏感信息,而忘了他們自身就是高價值目標。
惡意黑客倒是會對公司高級主管多下功夫,因為他們掌握的權力和信息比普通員工多。很多企業中,董事會成員不被當成員工看待,不用參與員工培訓,且往往還能使用自己那沒安裝企業防禦與監控措施的設備。這幾個風險因素再加上董事會成員對公司秘密信息的訪問權限, 就讓董事們成為了網絡攻擊浪潮中一葉風雨飄搖的小舟。
作為有影響力的領導,董事會成員在設立公司安全文化上舉足輕重,也有義務不僅僅瞭解公司緩解網絡安全風險的措施,還要確保自身也在實踐這些安全行為。
網絡責任上升
網絡安全不僅是個技術問題,也是人的問題:想想你有多容易點擊惡意鏈接或打開惡意附件?澳大利亞信息專員辦公室(OAIC)最近公佈了數據洩露季報,揭示36%的數據洩露是人為失誤導致的。
作為高層領導,董事會需減小公司面臨的風險並對企業風險加以監管。對董事而言,緩解網絡風險最簡單的方法,就是問問題和高標準要求自身。董事應確保自身採取了恰當的方法保護自己的商業賬戶及個人賬戶,並請教安全人員,瞭解怎樣才能更好地保護自己和公司數據。作為領導,董事可能需對災難性網絡攻擊事件負責。
不在位期間是遭攻擊高峰期
網絡攻擊隨時隨地都會發生,但對董事會成員而言,他們不在公司的時間段是威脅風險最高的時候。董事們經常在家辦公,在出差途中辦公,而且會混用個人和公司的設備與賬戶。這些不安全的網絡達不到公司環境的那種安全程度,人走出公司辦公樓後的行為也會發生改變。
出差或旅行時,大多數人都會欣然連接機場、酒店或咖啡館的公共WiFi。董事們有太多機會在不安全網絡上下載敏感文件或查看機密電子郵件了。這一簡單而極其常見的行為很有可能將公司暴露在巨大風險面前。很多攻擊者密切關注董事會成員的出行日程表,目的明確地侵入酒店WiFi以盜取敏感材料。
CrowdStrike的《全球威脅報告》發現,民族國家黑客對酒店行業特別關注,或為追蹤旅行中的目標人物,或為在潛在受害者脫離安全網絡時侵入其電子設備。通過盯緊酒店,他們知道自己的預定目標對攻擊毫不設防的確切時間和地點。
教育與意識
幫公司應對網絡攻擊並不需要董事們自己成為網絡安全專家,但保護自身安全卻需要了解威脅並保持警惕。
最重要的是,董事會必須更主動地承擔起網絡安全責任。以下幾條建議可供參考:
1. 定下基調
董事會需指導如何劃定網絡安全風險優先級。安全提升往往伴隨著效率的降低或其他業務目標上的權衡取捨,董事級指導的缺失常會造成安全重心的偏移而增加業務風險。
2. 要求知悉和問問題
理想狀態下,每次董事會會議或董事會分管委員會會議上都應討論網絡安全問題。簡報不應浮於表面,而應深入公司安全態勢的細節。
3. 第三方評估
董事會需客觀瞭解公司的網絡風險暴露面。與聘用獨立審計師評估財務操作類似,主流公司企業會引入熟悉所屬行業當前網絡安全風險的第三方來評估其風險態勢。
僅憑安全教育無法阻止惡意黑客對公司實施網絡攻擊,但它能避免愚蠢或疏忽行為。多加提點高層領導被黑客特別關照的原因和方式,可以增加檢測並阻止攻擊的概率,防患於未然。
學習如何應對網絡安全風險和理解自身網絡安全風險責任是非常重要的,必須從最高層加以戰略性解決。網絡安全管理不再是推給IT部門就能解決的事。網絡安全人人有責,董事們也不例外。
閱讀更多 安全牛 的文章
