CIO如何應(yīng)對(duì)網(wǎng)絡(luò)攻擊
如果人們像大多數(shù)企業(yè)的首席信息官(CIO)一樣����,在處理網(wǎng)絡(luò)威脅方面可能會(huì)有一種無(wú)法確定和沒(méi)有防備的感覺(jué),那么實(shí)際上有這樣的感覺(jué)是對(duì)的�。
調(diào)研機(jī)構(gòu)畢馬威會(huì)計(jì)師事務(wù)所的Steve Bates表示:“網(wǎng)絡(luò)攻擊者比以往更具組織性和復(fù)雜性。
無(wú)論這攻擊是來(lái)自企業(yè)的競(jìng)爭(zhēng)對(duì)手��,流氓國(guó)家����,還是激進(jìn)主義團(tuán)體,他們正在使用更好的工具���,獲得更多的資金進(jìn)行攻擊���。
這些網(wǎng)絡(luò)犯罪分子具備對(duì)各種組織造成重大損害的手段和能力�。
”盡管網(wǎng)絡(luò)風(fēng)險(xiǎn)和信息技術(shù)安全成為各行各業(yè)日益關(guān)注的問(wèn)題�,但這一擔(dān)憂并沒(méi)有轉(zhuǎn)化為有效的行動(dòng)。
根據(jù)哈維納什/畢馬威的2017年首席信息官的調(diào)查報(bào)告��,只有21%的IT領(lǐng)導(dǎo)人表示在確定和處理目前或近期的網(wǎng)絡(luò)攻擊方面做得“非常好”�����,與去年相比下降了4%����,與過(guò)去四年相比下降了28%。
雖然針對(duì)大型企業(yè)的網(wǎng)絡(luò)襲擊被廣泛宣傳���,比如Petya�����,WannaCry和Cloudbleed���,其實(shí)還有更多的網(wǎng)絡(luò)違規(guī)事件發(fā)生�,只是很少對(duì)外公布�����。
根據(jù)調(diào)查顯示����,近三分之一的受訪者表示在過(guò)去的兩年里發(fā)生過(guò)重大的網(wǎng)絡(luò)安全事件�����。
而對(duì)于大型企業(yè)而言風(fēng)險(xiǎn)更大��,一半以上的大企業(yè)表示最近遭遇了網(wǎng)絡(luò)襲擊���。
這些網(wǎng)絡(luò)攻擊對(duì)各個(gè)組織造成了沉重的代價(jià)��。
每次違規(guī)事件平均損失近400萬(wàn)美元�。
這還不包括增加保險(xiǎn)費(fèi)用�����、聲譽(yù)損害�����、客戶關(guān)系損害,以及知識(shí)產(chǎn)權(quán)(IP)潛在損失的成本���。
企業(yè)成功的障礙很多公司都清楚地認(rèn)識(shí)到����,為了應(yīng)對(duì)網(wǎng)絡(luò)安全威脅���,他們需要負(fù)責(zé)并改變運(yùn)營(yíng)方式�����。
但總的來(lái)說(shuō)���,他們的努力在部署先進(jìn)的威脅探測(cè)機(jī)制和適當(dāng)?shù)娘L(fēng)險(xiǎn)管理方案方面并沒(méi)有起到非常有效的作用。
以下是企業(yè)面臨效率低下和處于脆弱狀態(tài)的一些關(guān)鍵原因:(1)董事會(huì)/管理層不完全了解這些問(wèn)題:首席信息官和首席信息安全官通常不是董事會(huì)成員�����,不能參與核心對(duì)話�。
因此,雖然董事會(huì)和管理層知道存在一些問(wèn)題,但是他們并沒(méi)有充分了解該領(lǐng)域具有專業(yè)知識(shí)的人員需要做什么事情��。
因此�,他們很難確定在網(wǎng)絡(luò)保護(hù)上花費(fèi)多少費(fèi)用或在哪里分配資金。
Bates解釋說(shuō):“各個(gè)部門都是獨(dú)立運(yùn)作的����,而沒(méi)有得到很好的溝通。
網(wǎng)絡(luò)威脅是一個(gè)戰(zhàn)略性的企業(yè)風(fēng)險(xiǎn)問(wèn)題�,而不僅僅是IT安全問(wèn)題�����。
它可能會(huì)影響合規(guī)性����、法律、運(yùn)營(yíng)�、市場(chǎng)營(yíng)銷,以及第三方供應(yīng)商等各方面因素��。
而這種攻擊可能來(lái)自這些部門的任何系統(tǒng)或人員����。
”然而,在大多數(shù)公司中,這些不同的功能通常是孤立的���,互不通信���,這使得設(shè)計(jì)和實(shí)現(xiàn)一個(gè)有效的、綜合性的企業(yè)范圍的網(wǎng)絡(luò)安全程序變得更加復(fù)雜��。
(2)缺乏訓(xùn)練有素和經(jīng)驗(yàn)豐富的員工:由于技術(shù)在所有企業(yè)中的重要性日益增加����,網(wǎng)絡(luò)威脅越來(lái)越嚴(yán)重,IT人員特別是IT安全人員越來(lái)越難以招募或保留��。
即使越來(lái)越多的人進(jìn)入這個(gè)領(lǐng)域����,并不是每個(gè)人都具有專業(yè)知識(shí)和經(jīng)驗(yàn)來(lái)設(shè)計(jì)和實(shí)施適當(dāng)?shù)木W(wǎng)絡(luò)安全計(jì)劃。
因此���,企業(yè)面臨激烈的人才競(jìng)爭(zhēng)��,而且大多數(shù)首席信息官和首席信息安全官員在IT安全和風(fēng)險(xiǎn)管理的專業(yè)知識(shí)方面比較匱乏����。
(3)跟蹤數(shù)據(jù):隨著技術(shù)的不斷增加和進(jìn)步,來(lái)自全球各地的企業(yè)�,第三方供應(yīng)商,國(guó)內(nèi)外監(jiān)管機(jī)構(gòu)以及各行業(yè)領(lǐng)域的數(shù)據(jù)越來(lái)越多��。
Bates說(shuō):“大多數(shù)首席信息官不能輕易地透露他們公司數(shù)據(jù)的位置�����、性質(zhì)����、相互關(guān)系。
而首席信息官需要確定如何跟蹤所有這些信息���,如何進(jìn)行分類、保留�����、管理�����。
更重要的是�,保護(hù)信息是一個(gè)非常復(fù)雜的問(wèn)題����。
”網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范行動(dòng)最近���,畢馬威通過(guò)徹底改變風(fēng)險(xiǎn)管理流程�����,程序和運(yùn)營(yíng)��,來(lái)幫助一家客戶減輕未來(lái)的網(wǎng)絡(luò)攻擊�����。
“這家全球性多媒體公司正在面臨組織內(nèi)外的網(wǎng)絡(luò)安全威脅����。
作為一家知名度很高的公司����,他們經(jīng)常被全球各地的黑客攻擊。
”Bates指出��,“更重要的是�����,他們與成千上萬(wàn)的第三方公司開(kāi)展業(yè)務(wù),而供應(yīng)商的系統(tǒng)和人員會(huì)使他們面臨潛在的網(wǎng)絡(luò)攻擊����。
”“在對(duì)這家公司的運(yùn)營(yíng)、程序��、安全功能以及運(yùn)作方式進(jìn)行了全面的審查之后����,我們發(fā)現(xiàn)其風(fēng)險(xiǎn)管理框架與企業(yè)風(fēng)險(xiǎn)管理(ERM)框架并沒(méi)有緊密相關(guān)。
此外����,這家公司的IT、IT安全�����、人力資源��、法律����、合規(guī),運(yùn)營(yíng)部門都是在孤島中運(yùn)作�����。
”Bates說(shuō)�����。
畢馬威幫助這家公司開(kāi)發(fā)了一個(gè)綜合信息風(fēng)險(xiǎn)管理程序��,提供政策�����,流程和控制以管理數(shù)據(jù)����,并將嵌入式IT安全功能嵌入到先前各個(gè)孤立的部門。
Bates繼續(xù)說(shuō):“有了這個(gè)新的設(shè)置��,當(dāng)安全事件發(fā)生時(shí)��,它將觸發(fā)進(jìn)程����,以減輕威脅����。
例如�����,通知特定的工作人員��,并提供步驟以應(yīng)對(duì)或減輕威脅���。
”防止或減輕網(wǎng)絡(luò)攻擊的措施首席信息官可以采取幾個(gè)步驟來(lái)幫助企業(yè)阻止網(wǎng)絡(luò)犯罪分子滲透他們的IT系統(tǒng)�,或者最大程度地減少違規(guī)事件發(fā)生時(shí)的損害�。
雖然這個(gè)過(guò)程可能很復(fù)雜,但如果想為企業(yè)提供一個(gè)打擊網(wǎng)絡(luò)安全攻擊的機(jī)會(huì)���,這是非常重要的���。
(1)在董事會(huì)中獲得席位作為首席信息官,需要向企業(yè)的董事會(huì)和高級(jí)管理人員說(shuō)明網(wǎng)絡(luò)犯罪是一個(gè)戰(zhàn)略性的企業(yè)風(fēng)險(xiǎn)問(wèn)題����。
闡述網(wǎng)絡(luò)犯罪將如何影響業(yè)務(wù)���,包括收入損失����,罰款以及對(duì)聲譽(yù)和客戶關(guān)系的損害。
在尋求資金時(shí)��,盡可能以非技術(shù)性的語(yǔ)言向董事會(huì)提供選項(xiàng)�,并以威脅情況為優(yōu)先事項(xiàng),使用儀表板來(lái)說(shuō)明其觀點(diǎn)�。
(2)打破孤島企業(yè)網(wǎng)絡(luò)安全計(jì)劃要有效,需要組織內(nèi)各個(gè)部門主要利益相關(guān)方的認(rèn)同和合作����。
在設(shè)計(jì)和實(shí)施這個(gè)計(jì)劃的時(shí)候,需要找到合適的人員來(lái)確保各方的需求和漏洞�����。
企業(yè)可能無(wú)法阻止所有的網(wǎng)絡(luò)攻擊��。
但是�����,采取合作方式并打破孤島,可以幫助查明最大威脅可能來(lái)自何處��,以及何時(shí)何地可能需要部署資源��。
(3)考慮外包解決人員配置問(wèn)題如前所述�,聘用和留住最好的網(wǎng)絡(luò)安全專業(yè)人員變得越來(lái)越困難,并且代價(jià)高昂����。
無(wú)論是在管理還是執(zhí)行/運(yùn)營(yíng)層面,都是如此��。
哈佛納什/畢馬威2017年首席信息官調(diào)查發(fā)現(xiàn)��,大約一半的首席信息官正在計(jì)劃增加外包IT和IT安全工作量����。
通過(guò)這種方式,第三方可以提供專業(yè)知識(shí)和創(chuàng)新技術(shù)來(lái)解決這些IT問(wèn)題�����,至少在他們自己的員工能夠建立之前���。
企業(yè)也可以釋放自己的資源���,獲得新的技能,并節(jié)省一些費(fèi)用�����。
(4)使用技術(shù)來(lái)管理和保護(hù)數(shù)據(jù)企業(yè)需要強(qiáng)大的數(shù)據(jù)和分析程序來(lái)加快數(shù)據(jù)管理平臺(tái)的速度����。
對(duì)于擁有數(shù)百個(gè)或數(shù)千個(gè)第三方供應(yīng)商的大型企業(yè)來(lái)說(shuō),情況尤其如此��。
第三方風(fēng)險(xiǎn)是許多公司關(guān)注的最重要的新興領(lǐng)域之一�。
大量的數(shù)據(jù)、系統(tǒng)和設(shè)施的接入��,以及與第三方有關(guān)的人員和服務(wù)常常缺乏透明度和一致的分類��。
通過(guò)不斷地識(shí)別��、監(jiān)控和管理第三方的情況�,是企業(yè)主動(dòng)進(jìn)行安全保護(hù)的關(guān)鍵。
(5)將網(wǎng)絡(luò)安全視為企業(yè)風(fēng)險(xiǎn)這一過(guò)程應(yīng)該部分包括將網(wǎng)絡(luò)安全與其企業(yè)風(fēng)險(xiǎn)管理框架聯(lián)系起來(lái)��。
這將使企業(yè)能夠進(jìn)行IT安全風(fēng)險(xiǎn)評(píng)估����,幫助檢測(cè)安全漏洞���,量化最高安全風(fēng)險(xiǎn),同時(shí)向高級(jí)管理人員���、審計(jì)委員會(huì)以及治理和遵從功能提供透明度����。
下一步是將最高優(yōu)先級(jí)的風(fēng)險(xiǎn)與企業(yè)的政策和控制聯(lián)系起來(lái)����,然后確定與這些特定風(fēng)險(xiǎn)相關(guān)的流程、人員��、技術(shù)�����。
此外��,IT功能需要整合到運(yùn)營(yíng)過(guò)程中�����,以確保整個(gè)供應(yīng)商和內(nèi)部生態(tài)系統(tǒng)正確管理事件和問(wèn)題。
IT常常使用不同的語(yǔ)言和流程來(lái)管理日常運(yùn)營(yíng)問(wèn)題��,而不是企業(yè)風(fēng)險(xiǎn)職能所使用的分類和框架�����。
最后����,這個(gè)過(guò)程需要定期審查和更新����,以適應(yīng)不斷變化的網(wǎng)絡(luò)風(fēng)險(xiǎn)環(huán)境。
首席信息官如何保持技術(shù)領(lǐng)先?首席信息官和他們的公司需要更新和加強(qiáng)他們的網(wǎng)絡(luò)安全計(jì)劃�����。
這將需要大量的資源投入�����,以應(yīng)對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)犯罪�。
Bates總結(jié)說(shuō):“但是,企業(yè)只要有適當(dāng)?shù)娜藛T和流程����,就可以在網(wǎng)絡(luò)攻擊之前保持領(lǐng)先��,并減少潛在的信息和收入損失��。
”
