CIO如何應對網絡攻擊
如果人們像大多數企業的首席信息官(CIO)一樣,在處理網絡威脅方面可能會有一種無法確定和沒有防備的感覺,那么實際上有這樣的感覺是對的。
調研機構畢馬威會計師事務所的Steve Bates表示:“網絡攻擊者比以往更具組織性和復雜性。無論這攻擊是來自企業的競爭對手,流氓國家,還是激進主義團體,他們正在使用更好的工具,獲得更多的資金進行攻擊。這些網絡犯罪分子具備對各種組織造成重大損害的手段和能力。”
盡管網絡風險和信息技術安全成為各行各業日益關注的問題,但這一擔憂并沒有轉化為有效的行動。根據哈維納什/畢馬威的2017年首席信息官的調查報告,只有21%的IT領導人表示在確定和處理目前或近期的網絡攻擊方面做得“非常好”,與去年相比下降了4%,與過去四年相比下降了28%。
雖然針對大型企業的網絡襲擊被廣泛宣傳,比如Petya,WannaCry和Cloudbleed,其實還有更多的網絡違規事件發生,只是很少對外公布。根據調查顯示,近三分之一的受訪者表示在過去的兩年里發生過重大的網絡安全事件。而對于大型企業而言風險更大,一半以上的大企業表示最近遭遇了網絡襲擊。
這些網絡攻擊對各個組織造成了沉重的代價。每次違規事件平均損失近400萬美元。這還不包括增加保險費用、聲譽損害、客戶關系損害,以及知識產權(IP)潛在損失的成本。
企業成功的障礙
很多公司都清楚地認識到,為了應對網絡安全威脅,他們需要負責并改變運營方式。但總的來說,他們的努力在部署先進的威脅探測機制和適當的風險管理方案方面并沒有起到非常有效的作用。以下是企業面臨效率低下和處于脆弱狀態的一些關鍵原因:
(1)董事會/管理層不完全了解這些問題:首席信息官和首席信息安全官通常不是董事會成員,不能參與核心對話。因此,雖然董事會和管理層知道存在一些問題,但是他們并沒有充分了解該領域具有專業知識的人員需要做什么事情。因此,他們很難確定在網絡保護上花費多少費用或在哪里分配資金。
Bates解釋說:“各個部門都是獨立運作的,而沒有得到很好的溝通。網絡威脅是一個戰略性的企業風險問題,而不僅僅是IT安全問題。它可能會影響合規性、法律、運營、市場營銷,以及第三方供應商等各方面因素。而這種攻擊可能來自這些部門的任何系統或人員。”
然而,在大多數公司中,這些不同的功能通常是孤立的,互不通信,這使得設計和實現一個有效的、綜合性的企業范圍的網絡安全程序變得更加復雜。
(2)缺乏訓練有素和經驗豐富的員工:由于技術在所有企業中的重要性日益增加,網絡威脅越來越嚴重,IT人員特別是IT安全人員越來越難以招募或保留。
即使越來越多的人進入這個領域,并不是每個人都具有專業知識和經驗來設計和實施適當的網絡安全計劃。因此,企業面臨激烈的人才競爭,而且大多數首席信息官和首席信息安全官員在IT安全和風險管理的專業知識方面比較匱乏。
(3)跟蹤數據:隨著技術的不斷增加和進步,來自全球各地的企業,第三方供應商,國內外監管機構以及各行業領域的數據越來越多。
Bates說:“大多數首席信息官不能輕易地透露他們公司數據的位置、性質、相互關系。而首席信息官需要確定如何跟蹤所有這些信息,如何進行分類、保留、管理。更重要的是,保護信息是一個非常復雜的問題。”
網絡風險的防范行動
最近,畢馬威通過徹底改變風險管理流程,程序和運營,來幫助一家客戶減輕未來的網絡攻擊。“這家全球性多媒體公司正在面臨組織內外的網絡安全威脅。作為一家知名度很高的公司,他們經常被全球各地的黑客攻擊。”Bates指出,“更重要的是,他們與成千上萬的第三方公司開展業務,而供應商的系統和人員會使他們面臨潛在的網絡攻擊。”
“在對這家公司的運營、程序、安全功能以及運作方式進行了全面的審查之后,我們發現其風險管理框架與企業風險管理(ERM)框架并沒有緊密相關。此外,這家公司的IT、IT安全、人力資源、法律、合規,運營部門都是在孤島中運作。”Bates說。
畢馬威幫助這家公司開發了一個綜合信息風險管理程序,提供政策,流程和控制以管理數據,并將嵌入式IT安全功能嵌入到先前各個孤立的部門。Bates繼續說:“有了這個新的設置,當安全事件發生時,它將觸發進程,以減輕威脅。例如,通知特定的工作人員,并提供步驟以應對或減輕威脅。”
防止或減輕網絡攻擊的措施
首席信息官可以采取幾個步驟來幫助企業阻止網絡犯罪分子滲透他們的IT系統,或者最大程度地減少違規事件發生時的損害。雖然這個過程可能很復雜,但如果想為企業提供一個打擊網絡安全攻擊的機會,這是非常重要的。
(1)在董事會中獲得席位
作為首席信息官,需要向企業的董事會和高級管理人員說明網絡犯罪是一個戰略性的企業風險問題。闡述網絡犯罪將如何影響業務,包括收入損失,罰款以及對聲譽和客戶關系的損害。在尋求資金時,盡可能以非技術性的語言向董事會提供選項,并以威脅情況為優先事項,使用儀表板來說明其觀點。
(2)打破孤島
企業網絡安全計劃要有效,需要組織內各個部門主要利益相關方的認同和合作。在設計和實施這個計劃的時候,需要找到合適的人員來確保各方的需求和漏洞。
企業可能無法阻止所有的網絡攻擊。但是,采取合作方式并打破孤島,可以幫助查明最大威脅可能來自何處,以及何時何地可能需要部署資源。
(3)考慮外包解決人員配置問題
如前所述,聘用和留住最好的網絡安全專業人員變得越來越困難,并且代價高昂。無論是在管理還是執行/運營層面,都是如此。
哈佛納什/畢馬威2017年首席信息官調查發現,大約一半的首席信息官正在計劃增加外包IT和IT安全工作量。通過這種方式,第三方可以提供專業知識和創新技術來解決這些IT問題,至少在他們自己的員工能夠建立之前。企業也可以釋放自己的資源,獲得新的技能,并節省一些費用。
(4)使用技術來管理和保護數據
企業需要強大的數據和分析程序來加快數據管理平臺的速度。對于擁有數百個或數千個第三方供應商的大型企業來說,情況尤其如此。
第三方風險是許多公司關注的最重要的新興領域之一。大量的數據、系統和設施的接入,以及與第三方有關的人員和服務常常缺乏透明度和一致的分類。通過不斷地識別、監控和管理第三方的情況,是企業主動進行安全保護的關鍵。
(5)將網絡安全視為企業風險
這一過程應該部分包括將網絡安全與其企業風險管理框架聯系起來。這將使企業能夠進行IT安全風險評估,幫助檢測安全漏洞,量化最高安全風險,同時向高級管理人員、審計委員會以及治理和遵從功能提供透明度。下一步是將最高優先級的風險與企業的政策和控制聯系起來,然后確定與這些特定風險相關的流程、人員、技術。
此外,IT功能需要整合到運營過程中,以確保整個供應商和內部生態系統正確管理事件和問題。IT常常使用不同的語言和流程來管理日常運營問題,而不是企業風險職能所使用的分類和框架。最后,這個過程需要定期審查和更新,以適應不斷變化的網絡風險環境。
首席信息官如何保持技術領先?
首席信息官和他們的公司需要更新和加強他們的網絡安全計劃。這將需要大量的資源投入,以應對越來越復雜的網絡犯罪。Bates總結說:“但是,企業只要有適當的人員和流程,就可以在網絡攻擊之前保持領先,并減少潛在的信息和收入損失。”
