将网络安全纳入企业风险管理

2015-01-28 19:50 来源: 网络 作者:知识网 网友评论 0 条 浏览次数 3844
网络安全已经不应该是仅仅属于信息技术专家的问题了。为管理这些风险,董事会成员和高级管理人员必须对技术问题更加熟悉。报告路线和部门必须在网络攻击前予以明确,以保证风险可控。

    企业董事会和高级管理层喜欢专注于业务,他们钟爱数字、战略和业务的成功运作,他们对企业充满激情,也是正因为如此,他们才稳坐董事会交椅,管理全球性企业。

  他们不喜欢过多谈论风险,很少为风险制定计划。当谈到信息治理和保护公司免受黑客和可能给公司带来伤害的网络入侵者攻击时,企业领导人就会自然而然地将问题甩给他们的信息技术专家。

  然而这种状态必须要做出转变,现在信息治理已经是企业风险管理框架的一部分了。放眼所有的数据泄露事件,一个重大的遗漏就是,公司在事件响应计划升级和损失最小化方面的失败。

  如今,仅有一份事件计划已经远远不够了,企业必须要投入资源和精力对数据漏洞进行评估,防止黑客和其他入侵者的破坏。与此同时,企业还面临着由自带设备办公(BYOD)策略和实践以及员工简单错误所带来的严重内部风险。

  网络风险已经成为投资者关注的基本面信息,并且证券交易委员会(SEC)也要求披露与网络入侵相关的重大事件。但到目前为止,却很少有公司做出这样的披露。

  公司董事会必须在这一领域采取积极主动,他们需要提出以下尖锐问题:

    公司是否有降低安全泄露影响的事件响应计划?

    流程中是否给关键利益相关者分配了特定的角色?

    董事会是否有报告机制来监控这些事件,并确保公司适当回应此类事件?

  致力于对保护网络入侵的前期措施缺少充分投资的危机管理方案是容易的,但公司必须加大投入以寻求积极的方法来最小化风险。这对于处理许多风险已经是老套路了,但是考虑到网络攻击造成的财务和声誉方面的损失,公司又不得不优先考虑网络风险。

  网络安全已经不应该是仅仅属于信息技术专家的问题了。为管理这些风险,董事会成员和高级管理人员必须对技术问题更加熟悉。报告路线和部门必须在网络攻击前予以明确,以保证风险可控。

  最后,一旦处理这些问题的治理结构准备就绪,公司必须投入时间和精力对事件响应能力进行测试。公司很快就会知道哪些策略是有效的,而哪些策略则是无效的。我们可以称之为网络消防演习,但是为了避免灾难性事件,这样的演习还是值得花费时间和精力去做的。

  在处理网络风险中,公司经常忽略其供应商造成的风险。公司必须对其供应商所造成的风险进行评估。忽略供应商风险而只关注内部风险是容易的,但由供应商所造成的网络安全风险会造成风险管理和响应的复杂化,并且常常导致旷日持久而纷繁复杂的诉讼。

上一篇: 下一篇:

相关主题:知识网  网络