當前位置:首頁 > 通信技術(shù) > 通信網(wǎng)絡(luò)
[導讀] 無論企業(yè)在網(wǎng)絡(luò)安全上花費多少費用,都無法保證不會發(fā)生重大事件。那么,企業(yè)高級管理人員和董事會如何知道做些什么才有意義? Michael Gabriel是Fortium Partners公

無論企業(yè)在網(wǎng)絡(luò)安全上花費多少費用,都無法保證不會發(fā)生重大事件。那么,企業(yè)高級管理人員和董事會如何知道做些什么才有意義?

Michael Gabriel是Fortium Partners公司合伙人,作為企業(yè)技術(shù)代表,他參加了美國信息風險委員會召開的一次會議。此外,還有來自財務、人力資源、法律、人身安全、內(nèi)部審計以及外部審計行業(yè)領(lǐng)域的一些高級管理人員參加了會議。外部審計表明,安全人員需要向企業(yè)董事會介紹潛在的網(wǎng)絡(luò)安全威脅。問題是,如果在管理人員做出回應之前就傳達了這一點,那么所要做的就是引起他們的關(guān)注,否則可能無濟于事。

Michael Gabriel表示,人們圍繞如何最好地傳達整體企業(yè)網(wǎng)絡(luò)安全狀況以及跨各個部門提出了一些問題,企業(yè)董事會需要盡快意識到這一點。無論網(wǎng)絡(luò)安全情況如何,都需要由外部審計向企業(yè)董事會提供簡報,而這是合理和必要的措施。

Michael Gabriel調(diào)查了一些專注于網(wǎng)絡(luò)的大型專業(yè)服務公司,這些公司都建立了網(wǎng)絡(luò)安全方法,但從最初的努力和持續(xù)的維護來看似乎非常困難,因為沒有人能提供人們想要傳達的清晰視角。

需要通過時間維度來看待網(wǎng)絡(luò)安全觀點

現(xiàn)在,人們都知道最好是通過一個清晰的故事傳達觀點。而人們的經(jīng)歷將會強化傳達的觀點,其中包括:

?過去–就重大事件而言,人們經(jīng)歷了什么?在這些事件中,人們學到了什么,做了什么?

?現(xiàn)狀–人們在新聞中聽到的威脅相關(guān)的風險是什么?將如何應對?

?未來–基于業(yè)務計劃和不斷發(fā)展的威脅,人們對未來需要擔心什么?這對前瞻計劃有何影響?

為了確保根據(jù)過去、現(xiàn)在和將來的觀點給予適當?shù)年P(guān)注,有必要持續(xù)更新狀態(tài),重點放在關(guān)鍵的業(yè)務影響指標和計劃上,最好是在與企業(yè)董事會會議相銜接的基礎(chǔ)上進行。當然,這并不排除根據(jù)實際事件或感知到的威脅立即發(fā)出通知和采取行動的可能性,這些項目將列入下一次狀態(tài)更新中。雖然這為人們的工作方式提供了時間視角,但并沒有解決系統(tǒng)化網(wǎng)絡(luò)安全態(tài)勢所需的參考點。

確定網(wǎng)絡(luò)安全風險的基礎(chǔ)是什么?

Rain Capital公司執(zhí)行合伙人兼董事會成員王晨曦(Chenxi Wang)博士提供了一個指導性的問題,就是“我們到底有多安全?”因為它不是基于任何評估框架的,而是基于個人觀點的意見。要了解企業(yè)的安全狀況,需要結(jié)合了解企業(yè)的威脅矩陣和評估網(wǎng)絡(luò)安全風險的基礎(chǔ)。

王晨曦博士指出,“網(wǎng)絡(luò)安全風險需要在企業(yè)面臨的重大風險的背景下進行討論。如何評估這些風險是否需要董事會關(guān)注,應該使用類似的風險框架,并且每6個月左右評估一次?!?/p>

專家提出的例子通常是為家庭實施的安全保護。例如家庭中每個房間都部署感測器,例如煙霧、熱量、水、一氧化碳、運動探測器和攝像頭,每個房間采用全天候監(jiān)控,但是并不能保證住房不會被搶劫,不會著火,也不會被洪水淹沒。雖然購買保險能夠彌補一些損失,但房主的生活將會受到嚴重中斷,可能失去一些珍貴的貴重物品。但是,房主可以基于需要保護的內(nèi)容決定需要支出保險費用。

從業(yè)務角度來看,這確實沒有什么不同。通過法律合同,企業(yè)的業(yè)務會受到法律保護,免受第三方網(wǎng)絡(luò)事件的影響,并在財務上受到網(wǎng)絡(luò)保險的保護,但是即使采用這些保護措施,企業(yè)的聲譽會受到什么影響?在進行補救之前,它將如何影響企業(yè)正在進行的流程或消費者或業(yè)務關(guān)系?

企業(yè)的業(yè)務風險和必要保護將根據(jù)其業(yè)務類型而有所不同。企業(yè)需要決定哪些資產(chǎn)(數(shù)據(jù)、系統(tǒng)訪問等)需要保護?如果這些資產(chǎn)受損會有什么影響?

Gabriel表示,例如媒體集團有一些不同的業(yè)務,而訂閱電視/點播業(yè)務面臨的風險不同于實時新聞機構(gòu),廣告支持的廣播網(wǎng)絡(luò),電視和電影制作公司。盡管在整個組織中都有標準的信息安全策略,但是它們在各個業(yè)務部門中的相關(guān)程度卻有所不同。

企業(yè)需要保護哪些資產(chǎn)?

管理人員需要考慮對于企業(yè)真正重要的事情。需要考慮的一些領(lǐng)域包括:

?消費者信息(無論是企業(yè)內(nèi)部還是第三方管理)

?法規(guī)遵從性(包括州和聯(lián)邦政府,國內(nèi)和國際),例如PII、PCI、GDPR、CCPA、HIPPA等。

?供應鏈(數(shù)字或其他)

?品牌聲譽(包括社交媒體影響以及面向公眾或B2B的網(wǎng)站)

?知識產(chǎn)權(quán)保護,包括戰(zhàn)略和計劃

?員工信息(包括保密的第三方人員信息)

?非公開財務和合同信息

要發(fā)現(xiàn)這一點,需要與每個部門的所有業(yè)務負責人以及企業(yè)的外部會計事務所進行探討。企業(yè)管理人員必須能夠建立自己的信任關(guān)系,為業(yè)務提供幫助,而風險承受能力是業(yè)務決策,管理人員可以提供指導。

然后,企業(yè)需要了解網(wǎng)絡(luò)安全框架和標準??梢钥紤]以下一些標準,但建議匯總這些標準以傳達摘要級別的狀態(tài),并以某種方式傳達當前和未來網(wǎng)絡(luò)安全計劃的潛在業(yè)務和財務影響:

?互聯(lián)網(wǎng)安全中心(CIS)關(guān)鍵安全控制(CSC)

?美國國家標準與技術(shù)研究所(NIST)的網(wǎng)絡(luò)安全框架(CSF)

?SANS前20個控件

?歐盟的GDPR(通用數(shù)據(jù)保護法規(guī))

?加州消費者保護法(CCPA)

?ISO 27000系列(國際標準化組織(ISO)和國際電工委員會(IEC))

?美國企業(yè)董事協(xié)會(NACD)網(wǎng)絡(luò)安全準則

資金對企業(yè)的網(wǎng)絡(luò)安全風險有何影響?與同行相比如何?

盡職調(diào)查對于確定企業(yè)的網(wǎng)絡(luò)安全地位至關(guān)重要,企業(yè)的首席財務官可以發(fā)揮重要作用。

行業(yè)中通常會有一些有關(guān)支出的行業(yè)指南,例如金融服務部門網(wǎng)絡(luò)安全配置文件,可用于支出評估。那么會根據(jù)他們可能擁有的專業(yè)知識來探討對其審計公司以及關(guān)鍵網(wǎng)絡(luò)安全公司而言哪個有意義。

但是從這個角度來看,預算支出如何影響企業(yè)情況?如果企業(yè)的首席財務官、首席運營官或董事會問以下這些問題,那么將如何回應?

?是否需要更多資金用于網(wǎng)絡(luò)安全計劃,如果需要將如何降低風險?

?如果要求企業(yè)的網(wǎng)絡(luò)安全預算削減10%,這是否增加風險?

那么需要花費多少資金?是否批準該請求以獲取更多資源,或者是新的人工智能/機器學習威脅防御工具?從業(yè)務角度如何傳遞風險?公認的最佳實踐是使用基于風險的方法,該方法旨在確定采取適當?shù)念A防措施的成本是否值得潛在的風險影響。它可以是一個簡單的四象限視角,例如在一個軸上的風險從低到高,而另一軸上的成本從低到高,并且可以幫助企業(yè)評估有限的支出應該應用在哪里。

不過,正如Michael Gabriel在IBM高管會議上了解到的那樣,人們通常根據(jù)當前的確定性來決定未來的不確定性。David Rock博士在行業(yè)媒體上發(fā)表的文章支持了這一點:“通常人們的大腦渴望確定性,并像避免痛苦一樣避免不確定性”,這篇文章提到了如何處理確定性與不確定性的原則。人們致力于自動避免不確定性,并說明了為什么偏愛所了解的當前事物而不是不利的事物。它解釋了當前財務成本增加的阻力,以及何時發(fā)生網(wǎng)絡(luò)安全事件對其財務影響的不確定性。

在這里,有很多首席信息安全官的例子,有人問他們是否會在明年或幾年內(nèi)再次提出對額外資源的要求。他們并不會表示內(nèi)部和外部因素都會有影響。因此建議他們確保傳達要求的原因,這是公司控制的事件,例如收購和整合成本使他們的新業(yè)務提高了安全性?如果是這樣,則要決定這些更改是否合理,因為這是業(yè)務決策。還是有新的業(yè)務擴展(例如直接面向消費者)對網(wǎng)絡(luò)安全產(chǎn)生影響?還是需要保護新的營業(yè)地點?企業(yè)需要感覺自己對這些決策擁有一定的控制權(quán)。只有通過適當?shù)脑u估框架,并了解潛在的網(wǎng)絡(luò)安全事件和預防性緩解成本對業(yè)務的影響,才能做到這一點。

由于發(fā)生某種類型網(wǎng)絡(luò)安全事件的可能性很高,因此企業(yè)還需要為事件響應做好準備——操作、法定和面向公眾。所有這些都會受到特定事件、業(yè)務類型、技術(shù)結(jié)構(gòu)、第三方依賴關(guān)系以及不同類型的網(wǎng)絡(luò)安全事件的潛在影響。這也可以用上述類似的基于風險的方法來處理。

除非企業(yè)認真對待網(wǎng)絡(luò)安全,否則將掉入資金的黑洞。企業(yè)管理人員需要做出權(quán)衡和艱難的決定。需要準備好回答有關(guān)組織的網(wǎng)絡(luò)安全成熟度和為管理新出現(xiàn)的威脅而建立的框架的問題。應確保網(wǎng)絡(luò)安全狀態(tài)的框架與管理其他業(yè)務風險的方式類似,即潛在安全事件對業(yè)務資產(chǎn)的影響。

與企業(yè)首席財務官、首席運營官以及首席法律官(內(nèi)部或外部審計)合作,以幫助為此提供依據(jù)。例如首席信息官、首席技術(shù)官、首席信息安全官等高管有責任以業(yè)務術(shù)語簡潔地解釋潛在風險和降低風險。盡管有些高管不喜歡看到網(wǎng)絡(luò)安全問題被記錄在案,但對此視而不見將會面臨風險。以業(yè)務可理解的角度負責任地傳達此信息,并建立適當?shù)睦嫦嚓P(guān)者支持,這是企業(yè)的責任。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉