数据泄漏、勒索病毒进攻加重了公司董事会对网络信息安全的关心。安全性领导干部表明,董事会越来越多地参加到安全性事务管理中,对网络问题拥有更难忘的了解,并对于风险暴露和管理风险的方式明确提出了更繁杂的问题。
虽然很多人依然把安全性当做是开展业务的一项成本费,但越来越多的董事会组员将其视作业务流程的基本。伴随着诸多的公司加速了企业战略转型计划,董事会想要知道,在职工愈来愈分散化的条件中,安全性如何适用转型发展措施,达到服务要求。
麦当劳公司首席信息官Timothy Youngblood说:“董事会愈来愈专注于了解技术性和安全隐患。”他说道:“这主要是因为她们在一定水平上遭受了SEC的危害,自身也期待董事会具有一定程度的技术性特长。”她们还取得了全国企业执行董事研究会和其它组织在网络信息安全层面的很多具体指导。
因而,董事会如今向安全性领导干部们明确提出的问题也发生了较大转变。据Youngblood等人的科学研究,下列列举了现如今董事会最在意的6个问题。
1. 互联网追责
风险管控企业VigiTrust的CEO、新小说《董事会里的互联网小象》的创作者Mathieu Gorge强调,总裁网络信息安全官应搞好更全面的提前准备,以回应董事会相关互联网追责的问题。Gorge详细介绍说,“互联网追责”指的是一个单位有工作能力证实她们有优良的网络空间,假如出了问题,她们可以追朔全部问题,精准定位到某一实际的事情、人或是人群。
总裁网络信息安全官应准备好表述什么是互联网追责,公司为什么要关心它,如何逐渐互联网追责之行,及其它包含哪些。Gorge说:“这就是为了能证实大家可以解决黑客攻击,并且大家有相对的计划,或是不止于此?牵涉到谁,耗费是多少,大家确实必须吗?”
在表明应对措施时,安全性领导干部们应留意,董事会真真正正想听见的是对公司总体生态体系的追责。这代表着,除开他们自己的单位以外,安全性领导干部们还应当可以叙述她们怎样让加盟商、分公司、业务流程合作方、经销商和其它第三方为执行安全性最佳实践承担。
这类生态体系可以是国际的,由繁杂并且通常互相矛盾的规章和规范来管控,全部这种都必须某种意义的追责。总裁网络信息安全官必须准备好回应她们已经在干什么,或是计划干什么,以表明自个的义务。“你是不是可以根据制作生态体系图来开展展现,是不是可以应用表明已经产生哪些的控制来开展展现,是不是可以表明早已对公司内每个有关方的信息访问限制开展了归类?”
2. 新冠疫情及日后的可靠趋势
商业服务付款服务中心Fleetcor的首席信息官James Edgar表明,新冠疫情后大家转为远程工作,进而造成董事会在网络信息安全层面提起的问题更为备受关注。
从IT和全部各个部门的方面看来,许多立即关心的聚焦点都汇集在转为远程工作将如何危害业务流程经营方法上。这种问题牵涉到公司能否有工作能力将大部分职工迁移到远程控制工作模式,而且依然可以为业务流程给予适用。
Edgar说,他从董事会接到的问题包含与业务连续性相关的问题,及其新冠疫情来临时对早已開始执行的关键IT新项目会有哪些危害等。“大家还可以大家更为关键的大事儿搞好吗?大家是不是能保持现阶段的安全性及其合规管理等级?大家的标准是啥,在我们摆脱新冠新冠疫情时,大家还能做到这种规范吗?”
伴随着局势的平稳,关键早已迁移到公司在后新冠疫情全球中保持其安全性形势的工作能力,及其将采用哪种投资方法来达到这类工作能力。Edgar说,对他而言切实可行的一种对策是,一个季度向董事会给予有关安全领域危害局势和关键发展趋势的最新消息。他介紹说:“大家按时向它们给予我们在勒索病毒、节点维护、网络视频监控层面所看见的状况及其大家所做工作中的最新消息。在安全隐患上,大家Fleetcor不可以无愧于心,反而是放眼全球,兼济天下。”
3. 安全设置
Youngblood说,与两年前对比,董事会对网络信息安全的思索更具有战略。许多执行董事将网络信息安全视作自身的做好本职工作,也是应负的职责和忠实责任。
Youngblood说:“你今天碰到的问题是,如何解决这些不会受到操控的事儿,例如第三方的。”现如今有这么多的业务外包业务流程,执行董事们想听一听网络安全防护项目投资是如何遭受维护的。她们想掌握公司从这当中获得了哪些,及其是不是有影响业务流程方向的要素。
Youngblood说,董事会喜爱听见公司解决互联网事情的筹备状况,及其在危害变成重大问题以前是不是有控制方法检验到危害。她们想要知道,网络信息安全是不是与数据转型发展链紧密相连,安全性是不是被内嵌到每一个流程中,而不是最终才再加上去。他说道,特别注意的是,董事会愈来愈想掌握公司都还没开展但很有可能对互联网风险性造成不良干扰的项目投资。
回应这种问题会很繁杂,因而,让首席信息官、总裁商品官和其它有关放在董事会大会上也各抒己见是非常好的想法。他说道,在与董事会探讨发展战略安全隐患时,你的演讲一定不必让首席信息官觉得出现意外。掌握董事会的稳健性,保证将互联网风险性放置企业风险控制的范畴内。
Youngblood说:“推存的方式是以讨论业务流程和业务成效逐渐。我是不会以十分策略的形式开展交谈。”
4. 对比领域最佳实践开展标准检测
云服务提供商Netenrich的首席信息官Brandon Hoffman强调,董事会对她们公司的安全防护情况与同行业对比有多么好或多差十分有兴趣。在其中一个因素可能是,在发生泄漏事情时,公司的安全防范措施通常会与领域最佳实践或同行业选用的作法开展较为。
Hoffman说:“顶层对掌握与领域有关的风险性拥有深厚的兴趣爱好。”这类较为自身通常对构建更安全性、风险性更小的自然环境沒有多少功效。即使如此,许多执行董事或是期待那样做,由于在业务流程条件中,合理考量安全系数的方式非常少。
Hoffman说:“总裁网络信息安全官犯的最大的问题之一是沒有将安全性有关风险性与业务流程风险性联络起來。反过来,汇报通常贯穿着合规管理架构和技术性衡量进行,这种顶多仅仅日常工作中的指标值。这的确不利于管理层或是董事会了解对项目的危害。”
5. 抵挡黑客攻击
董事会不但在发展战略和企业风险控制方面上对网络信息安全愈来愈有兴趣,并且它们依然深层次参加与公司抵挡和解决黑客攻击工作能力有关的工作中。Thycotic总裁网络信息安全官咨询顾问兼总裁安全性生物学家Joseph Carson评价说,她们想要知道你是怎么使用工作人员、步骤和工艺来尽量减少安全风险的,与此同时也要在工作效能和安全系数中间维持合理的均衡。
董事会很有可能会问到,总裁网络信息安全官必须提前准备表述的问题包含:重要业务流程服务项目曝露给勒索病毒等危害的风险性,及其为减少勒索病毒或别的进攻对项目服务项目的不良影响而采用的方法等。他说道:“哪一种危害最有可能影响业务流程,及其有什么财务风险,减少风险性有什么挑选。大家的互联网风险性差别有多大,例如减少安全风险的费用与不采取任何对策的费用对比怎样?”
准备好回应相关事情回应计划的问题,及其你是不是已对于很有可能严重影响工作的每一种危害做好了检测。Carson说:“大家应采用哪些对策来细分化业务流程的每个一部分并操纵访问限制?大家超过了什么政策法规和合法规定,达到了什么,无法达到什么,及其这种政策法规和合法规定如何与业务流程互联网风险性相一致?”
6. 不断合规管理
Gorge说,应准备好探讨不断合规管理和不断安全系数。董事会组员通常会问,在网络信息安全层面的项目投资必须多久才可以让企业获得收益。他说道:“大家会问,'行吧,大家就那么试一次,那麼将来很多年都是会维持得非常好,对不对?或是要大家不断的资金投入?”
Gorge说,在这里,总裁网络信息安全官和其它安全性领导干部们应引进那样一种核心理念:安全性与合规管理是一个全过程,而不是终点站。她们应表明,伴随着项目的发展趋势,安全性要求也在不断地转变。关键的是,安全性领导干部们要注重在网络信息安全层面不断投入的重要性,包含资产、時间和活力等。表述在3~5年的时间段里,这种项目投资将如何控制成本、提升安全系数、提高顾客自信心并产生别的进一步的益处。
Gorge说:“在互联网追责和不断合规管理的多重环境下,总裁网络信息安全官遭遇的最大的考验是展现网络信息安全如何变成一种业务流程促进要素,而不仅是掏钱。与其说是‘如果我们不那么做,很有可能会产生安全生产事故’,比不上展现一下如何运用原有的方式,一种真真正正提升使用价值的方法,将网络信息安全列入负债表。”