网络安全是个商业问题,不仅仅是个技术问题。董事会对利益相关者和投资人负有信托责任,应从上至下主导整个公司的网络安全监管与领导工作,主动监督保护敏感数据与客户信息所用的方式方法。
作为安全过程的一部分,董事会需了解威胁态势和高价值目标。在考虑公司哪些信息对网络罪犯而言具有价值时,董事们往往会关注数据和商业敏感信息,而忘了他们自身就是高价值目标。
恶意黑客倒是会对公司高级主管多下功夫,因为他们掌握的权力和信息比普通员工多。很多企业中,董事会成员不被当成员工看待,不用参与员工培训,且往往还能使用自己那没安装企业防御与监控措施的设备。这几个风险因素再加上董事会成员对公司秘密信息的访问权限, 就让董事们成为了网络攻击浪潮中一叶风雨飘摇的小舟。
作为有影响力的领导,董事会成员在设立公司安全文化上举足轻重,也有义务不仅仅了解公司缓解网络安全风险的措施,还要确保自身也在实践这些安全行为。
网络责任上升
网络安全不仅是个技术问题,也是人的问题:想想你有多容易点击恶意链接或打开恶意附件?澳大利亚信息专员办公室(OAIC)最近公布了数据泄露季报,揭示36%的数据泄露是人为失误导致的。
作为高层领导,董事会需减小公司面临的风险并对企业风险加以监管。对董事而言,缓解网络风险最简单的方法,就是问问题和高标准要求自身。董事应确保自身采取了恰当的方法保护自己的商业账户及个人账户,并请教安全人员,了解怎样才能更好地保护自己和公司数据。作为领导,董事可能需对灾难性网络攻击事件负责。
不在位期间是遭攻击高峰期
网络攻击随时随地都会发生,但对董事会成员而言,他们不在公司的时间段是威胁风险最高的时候。董事们经常在家办公,在出差途中办公,而且会混用个人和公司的设备与账户。这些不安全的网络达不到公司环境的那种安全程度,人走出公司办公楼后的行为也会发生改变。
出差或旅行时,大多数人都会欣然连接机场、酒店或咖啡馆的公共WiFi。董事们有太多机会在不安全网络上下载敏感文件或查看机密电子邮件了。这一简单而极其常见的行为很有可能将公司暴露在巨大风险面前。很多攻击者密切关注董事会成员的出行日程表,目的明确地侵入酒店WiFi以盗取敏感材料。
CrowdStrike的《全球威胁报告》发现,民族国家黑客对酒店行业特别关注,或为追踪旅行中的目标人物,或为在潜在受害者脱离安全网络时侵入其电子设备。通过盯紧酒店,他们知道自己的预定目标对攻击毫不设防的确切时间和地点。
教育与意识
帮公司应对网络攻击并不需要董事们自己成为网络安全专家,但保护自身安全却需要了解威胁并保持警惕。
最重要的是,董事会必须更主动地承担起网络安全责任。以下几条建议可供参考:
1. 定下基调
董事会需指导如何划定网络安全风险优先级。安全提升往往伴随着效率的降低或其他业务目标上的权衡取舍,董事级指导的缺失常会造成安全重心的偏移而增加业务风险。
2. 要求知悉和问问题
理想状态下,每次董事会会议或董事会分管委员会会议上都应讨论网络安全问题。简报不应浮于表面,而应深入公司安全态势的细节。
3. 第三方评估
董事会需客观了解公司的网络风险暴露面。与聘用独立审计师评估财务操作类似,主流公司企业会引入熟悉所属行业当前网络安全风险的第三方来评估其风险态势。
仅凭安全教育无法阻止恶意黑客对公司实施网络攻击,但它能避免愚蠢或疏忽行为。多加提点高层领导被黑客特别关照的原因和方式,可以增加检测并阻止攻击的概率,防患于未然。
学习如何应对网络安全风险和理解自身网络安全风险责任是非常重要的,必须从最高层加以战略性解决。网络安全管理不再是推给IT部门就能解决的事。网络安全人人有责,董事们也不例外。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
