每年我都会和数百名企业高阶主管讨论网络安全。我看到的最大错误是,企业把网络安全当成单纯的技术问题,全权委由资讯科技部门来解决。但不应如此。这是极重要的事情,整个企业都会受到影响。
如果目的是要阻止某件坏事发生,公司通常会浪费时间与金钱,尝试建立一道不可渗透的系统墙,结果却徒劳无功。即使有可能筑起一道百分之百安全的墙,它也无法保护快速增加的大量敏感资料,这些资料透过公司无法直接控制的设备和系统,流到防火墙之外。
更重要得多的是两件事:确认公司有哪些具策略重要性的网络资产,并保护那些资产;先设想好,若是受到攻击,要如何减轻损害。
选择要保护哪些领域
现在有愈来愈多产品连结到网际网络,不仅是电脑和手机,还有家电产品、警报系统和车库门遥控开关。顾客在启动产品或使用服务时,都会分享大量的装置使用情况资料和个人资料,但他们不见得知道这一点。
接收这些资料的公司必须体认到,网络安全与资料保护,不再只是资讯科技方面的风险,而是最高等级的策略性业务风险,对于公司声誉、品牌和营收都有重大影响。执行长多少都知道这一点。根据我们的「执行长前瞻」(CEO Outlook)调查,网络安全目前是执行长们最关切的重大风险。但是,尽管高阶主管似乎明白,策略本身是一系列的选择(选择公司要精通哪些领域,以及不必在哪些领域里竞争),但他们对网络安全采取「抹花生酱」的做法,也就是让它均匀地分布在整个企业里,并没有选择只做部分领域。
因此,我要强调网络风险管理架构的价值,这种架构首先要聚焦于能推动成长与获利能力的商业要素,最后才是建立技术的基础设施。这与传统做法相反,但更有效。对于网络安全的投资不能一视同仁;有些投资就是比较重要。
例如,我最近得知,一家大型保险公司的安全长(Chief Security Officer,CSO)花费了大量时间和数百万美元,以确保公司的经销商网络的安全,这个网络包含数千个经纪人,是独立于公司之外的一个团体,他们和保户有直接关系。经纪人不是保险公司的员工,即使他们收集和处理客户资料,但使用的系统并不受保险公司控制。这是许多资讯科技安全专家面临的为难情况:我如何保护不在我的系统环境内、但会影响我们公司品牌和客户对我们的信任的东西?
那位安全长当时不知道公司正计划改变商业模式,预计在其后几年拆除那个经销商网络,这表示他那时做的许多事情,很快就会变得无关紧要。企业若能谈论即将到来的变化,并预先因应规划,就能制定可弹性调整、灵活敏捷且有效的网络安全策略。
在我服务的KPMG进行的前述那项调查中,尽管有将近五分之一的执行长表示,减轻网络风险已日益成为其职责的一部分,他们对此感到不安,但他们的优先要务之一,应该是努力促进各事业单位和资讯部门之间更加协调一致。
正如任何风险管理策略那样,高阶主管必须检视整个组织,评估公司的网络安全资产,包括对技术系统的投资,以及运作那些系统的高技能专业人员。他们也应确保这些投资符合公司目前的需求,并能支援公司未来三到五年商业模式的演变发展。
作好准备以因应攻击
一旦确认了公司最重要的资产和业务流程面临的关键风险,就必须做出明智的判断,且花费应合理,确定哪些风险是可以解决的,哪些风险可以持续进行密切监测。虽然这么想会很痛苦,但你的防御机制的确可能会在某个时点被破坏,所以最好拟妥计划,一旦发生破坏,要如何因应。
公司一定要进行网络安全训练,根据不断变化的情况和人员角色,持续进行训练。要让每个员工都知道网络安全的最佳实务,以及如何辨别恶意软体或网络钓鱼(phishing,译注:透过网际网络或电子邮件骗取他人身分讯息、银行帐号等,以盗取金钱)。太多公司未能了解不断进行员工训练的重要性。
定期进行网络风险评估,聚焦于最重要的企业资料和商业优先事项,并在良好控制下进行破坏情境演练,以了解公司及员工会如何反应。网络安全遭到攻击时,公司的指挥链是什么?你要如何与新闻媒体及顾客沟通?
我们最近完成的一项调查显示,许多公司并未做这种应变规划,甚至没有提拨经费进行这种规划:近三分之一(31%)的高阶主管表示,他们公司没有指定专门负责网络安全的领导人;49%的高阶主管表示,过去一年来他们没有投入资金在维护资讯安全上。
我们看到这么多公司未投资于网络安全保护,而且未指定负责网络安全的领导人,这个情况显示,即使网络安全是企业最关切的问题,但多半没有得到适当的处理。
企业若对于网络安全措施及其成效,提供较多透明资讯、进行教育和沟通,就可获得消费者较高的评价。在这方面做得成功的公司,不仅较有可能在市场上获胜,而且在网络安全遭到攻击时,能够因应阻挡。
登录后发表你的伟大言论!
立即登录 注册