你的董事会真的了解网络风险吗?
1503字
2020-09-15 16:57
15阅读
火星译客

在过去的十年里,商业领袖不得不面对一个令人不安的事实:坐在公司的上头,不解决网络风险的威胁已经变得不可能了。网络攻击越来越普遍,可能对公司构成近乎生存的威胁,即使董事和CEO无法掌握技术细节,他们也需要评估这些攻击的方法。这导致企业内部和外部利益相关者对网络风险度量的需求激增。

近几年来,由于信用评级机构、投资者和保险公司的努力,衡量网络风险的方法已经有所发展,但没有什么能取代高管层明智的决策。作为网络安全专家,我们认为现在不仅是根据第三方评估制定分数的时候了,而且是考虑技术分析、治理、文化和负面网络事件的财务影响的整体评估的时候了。这种评估应该成为公司董事的一个必要而有力的工具,如果得到适当的解释培训,他们可以利用这些评估来了解公司面临的技术弱点。

精通网络风险并不意味着所有高管都必须是技术专家。这确实意味着他们需要能够建立公司对网络风险的承受能力,确定引导网络安全投资的最重要成果,并能够培养网络安全和弹性文化。

网络风险评估告诉你(和不告诉你)什么

在最基本的层面上,第三方网络风险评估显示了一家公司在实施旨在保护其免受网络攻击的防御措施方面有多好,无论是产品和服务中断、机密数据泄露还是网络攻击引发的欺诈。这些评估还衡量了一家公司为抵御和恢复此类攻击所做的准备程度,即网络弹性。这是其更广泛的企业风险管理战略的重要组成部分。网络恢复力薄弱的风险非常明显:董事们看到网络接入销售、工厂生产因收入损失而中断、欺诈性银行电汇和侵犯客户隐私的消息几乎源源不断,所有这些都对受害公司的声誉造成了持久的损害。

在过去十年中,了解和量化网络风险的工作主要落在首席信息安全官(CISO)及其团队身上,他们主要解决技术层面的问题。他们往往侧重于以往袭击的次数、影响以及处理的速度。简而言之,他们的目标是评估现有的防御体系。这种方法的问题在于它在很大程度上是向后看的。评估有时包括像攻击者一样查看暴露在互联网上的公司系统,并尝试确定这些系统受到攻击的脆弱性。这种方法的问题在于,它通常没有考虑公司可能存在的分层防御,包括故意欺骗努力试图研究公司弱点的黑客,因此可能反映出对风险的狭隘看法。

然而,这两种方法最显著的局限性是,它们将网络安全决策与它们要服务的业务隔离开来。虽然技术评估可能足以满足CISO的需要,但它们并不能满足董事会真正需要的:对公司进行风险导向、全面且经过验证的评估,考虑特定公司网络安全(或网络不安全)的财务和业务影响。此外,技术报告没有充分捕捉治理、文化、决策实践或对公司网络风险状况和偏好的更广泛处理等属性,如果董事会和企业高管希望做出明智的决定,决定是否将资金用于改善网络防御,而不是投资于业务的其他领域,那么所有这些都需要了解。

如何获得你需要的审计

董事会需要明确其要求,这意味着董事会需要知道自己的要求。董事们不应接受公司技术经理或审计师的表面评分,甚至是定性评估,而应要求进行全面评估:一种超越技术细节的评估,包括外部和内部的观点。与此同时,网络安全经理应与高级领导层和董事会合作,提供相关背景,并将评估作为分享董事会所需知识的工具,以提供有效的监督。当以这种方式呈现(由可信的顾问收集和分享)时,网络风险信息可以与其他商业风险进行对比,并类似地与特定战略机会进行权衡。这不会产生完美的结果,但会极大地提高公司对网络风险的认识,并为随着方法的发展而演变的监管提供一条清晰的路径。

这在实践中是什么样子的?为了做出适当的决策,董事需要了解“好”对其整体网络风险状况的意义,以及整体评估的真正含义(内部、外部、基准、损失分析)。此此外,他们需要设定与公司目标相称的预期结果。确定“好”的含义将因公司而异。令人高兴的是,这意味着董事们可以做很多事情以确保构建块到位,以便他们的公司能够在网络评级和评估方法成熟时取得正确的结果。

定义你的风险承受能力:董事们首先应该认识到的是,董事会必须像对待任何其他风险一样,确定公司在网络损失事件方面的风险承受能力。在对主题和公司所面临的风险类型有了了解之后,董事会将认识到“完美”的网络安全是不可能实现的。相反,它将认识到,评估网络风险以及反思任何网络评估至少需要仔细考虑以下两个主要问题:1)我们的客户对我们有什么期望?2)同行公司如何应对这些风险?

专注结果:领导者需要专注于他们想要实现的结果,而不是直接跳到评级比较上。正确的结果是将一个公司的风险承受能力、在网络安全方面先前和未来的投资,以及对其客户、股东甚至监管机构的期望相结合。没有人会期望实体零售商拥有与顶级银行或军事设备制造商相同的网络安全计划和防御。(考虑一下律师事务所的情况,它需要非常担心私人客户数据的泄露,而电力公司则需要非常担心服务的中断。)同样,董事会和商业领袖需要调整他们的预期,确定他们的风险承受能力,并对网络安全进行与其行业概况相称的投资。一旦决定了这一点,董事会应制定内部标准和目标,并让管理层负责实现这些标准和目标。

建立网络安全和弹性文化: 治理和文化在任何网络风险评估中都起着至关重要的作用。董事会应该发挥作用,确保公司网络安全计划的这些方面至关重要。虽然目前有不同的方法来衡量网络风险,但正确的结果总是从正确的文化开始。即使在衡量标准发生了变化,文化也是网络弹性所有方面可衡量因素的驱动力——技术流程的改进推动了外部得分的提高,相对于业务主动性,管理层参与了与业务计划相关的网络活动,董事会参与确保目标的责任性。文化也很重要,因为它的指标随时间的波动小于技术指标,而技术指标往往会随着计算技术的变化而变化。。例如,在数据中心衡量网络安全与在云计算中衡量网络安全有很大不同,但这些环境是否得到有效管理的文化方面是相似的。

***

随着网络安全评估的市场进一步发展为整体网络安全评级,董事和企业领导人需要仔细注意确保基本衡量标准提供真正的比较基准,充分考虑内部和外部衡量标准之间的平衡,并全面检查组织的技术、治理和公司的文化方面。为了实现这一点,用于评估风险的方法的透明度至关重要。但同样至关重要的是,公司要正确设定和管理网络风险承受能力,了解适用的网络事件可能对公司造成的财务影响范围,以及良好的、消息灵通的治理在减轻这些影响方面所起的作用。

0 条评论
评论不能为空