網路安全人人有責,董事們也不例外
網路安全是個商業問題,不僅僅是個技術問題。董事會對利益相關者和投資人負有信託責任,應從上至下主導整個公司的網路安全監管與領導工作,主動監督保護敏感資料與客戶資訊所用的方式方法。
作為安全過程的一部分,董事會需瞭解威脅態勢和高價值目標。在考慮公司哪些資訊對網路罪犯而言具有價值時,董事們往往會關注資料和商業敏感資訊,而忘了他們自身就是高價值目標。
惡意黑客倒是會對公司高階主管多下功夫,因為他們掌握的權力和資訊比普通員工多。很多企業中,董事會成員不被當成員工看待,不用參與員工培訓,且往往還能使用自己那沒安裝企業防禦與監控措施的裝置。這幾個風險因素再加上董事會成員對公司祕密資訊的訪問許可權, 就讓董事們成為了網路攻擊浪潮中一葉風雨飄搖的小舟。
作為有影響力的領導,董事會成員在設立公司安全文化上舉足輕重,也有義務不僅僅瞭解公司緩解網路安全風險的措施,還要確保自身也在實踐這些安全行為。
網路責任上升
網路安全不僅是個技術問題,也是人的問題:想想你有多容易點選惡意連結或開啟惡意附件?澳大利亞資訊專員辦公室(OAIC)最近公佈了資料洩露季報,揭示36%的資料洩露是人為失誤導致的。
作為高層領導,董事會需減小公司面臨的風險並對企業風險加以監管。 對董事而言,緩解網路風險最簡單的方法,就是問問題和高標準要求自身 。董事應確保自身採取了恰當的方法保護自己的商業賬戶及個人賬戶,並請教安全人員,瞭解怎樣才能更好地保護自己和公司資料。作為領導,董事可能需對災難性網路攻擊事件負責。
不在位期間是遭攻擊高峰期
網路攻擊隨時隨地都會發生,但對董事會成員而言,他們不在公司的時間段是威脅風險最高的時候。董事們經常在家辦公,在出差途中辦公,而且會混用個人和公司的裝置與賬戶。這些不安全的網路達不到公司環境的那種安全程度,人走出公司辦公樓後的行為也會發生改變。
出差或旅行時,大多數人都會欣然連線機場、酒店或咖啡館的公共WiFi。董事們有太多機會在不安全網路上下載敏感檔案或檢視機密電子郵件了。這一簡單而極其常見的行為很有可能將公司暴露在巨大風險面前。很多攻擊者密切關注董事會成員的出行日程表,目的明確地侵入酒店WiFi以盜取敏感材料。
CrowdStrike的《全球威脅報告》發現,民族國家黑客對酒店行業特別關注,或為追蹤旅行中的目標人物,或為在潛在受害者脫離安全網路時侵入其電子裝置。通過盯緊酒店,他們知道自己的預定目標對攻擊毫不設防的確切時間和地點。
教育與意識
幫公司應對網路攻擊並不需要董事們自己成為網路安全專家,但保護自身安全卻需要了解威脅並保持警惕。
最重要的是,董事會必須更主動地承擔起網路安全責任。以下幾條建議可供參考:
1. 定下基調
董事會需指導如何劃定網路安全風險優先順序。安全提升往往伴隨著效率的降低或其他業務目標上的權衡取捨,董事級指導的缺失常會造成安全重心的偏移而增加業務風險。
2. 要求知悉和問問題
理想狀態下,每次董事會會議或董事會分管委員會會議上都應討論網路安全問題。簡報不應浮於表面,而應深入公司安全態勢的細節。
3. 第三方評估
董事會需客觀瞭解公司的網路風險暴露面。與聘用獨立審計師評估財務操作類似,主流公司企業會引入熟悉所屬行業當前網路安全風險的第三方來評估其風險態勢。
僅憑安全教育無法阻止惡意黑客對公司實施網路攻擊,但它能避免愚蠢或疏忽行為。多加提點高層領導被黑客特別關照的原因和方式,可以增加檢測並阻止攻擊的概率,防患於未然。
學習如何應對網路安全風險和理解自身網路安全風險責任是非常重要的,必須從最高層加以戰略性解決。網路安全管理不再是推給IT部門就能解決的事。網路安全人人有責,董事們也不例外。
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。