压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2015年某天上午，Joseph Carson開始向公司董事會闡述為什么網(wǎng)絡(luò)安全部門需要增加預(yù)算。這位部門負責(zé)人解釋道，公司特別容易受到勒索軟件和供應(yīng)鏈攻擊的威脅。他表示，如果自己領(lǐng)導(dǎo)下的部門沒有獲得所需的資金，那么公司的數(shù)據(jù)就有可能面臨多次泄露的風(fēng)險，隨之而來的公眾監(jiān)督和法律審查將會導(dǎo)致公司股票暴跌，在座的各位都有可能失業(yè)。

董事會似乎確實受到了驚嚇。“首席執(zhí)行官（CEO）和首席財務(wù)官（CFO）事后找了我，并向我表示感謝。”Carson回憶道。然后他們否決了Carson的預(yù)算申請。“那個時候，我就意識到，我們需要開始改變了。”

如今，七年過去了，很難想象同樣的場景還會出現(xiàn)在哪家公司的董事會會議室中。分析公司Gartner的調(diào)研結(jié)果顯示，網(wǎng)絡(luò)攻擊之于大型企業(yè)已是司空見慣，董事會現(xiàn)在將網(wǎng)絡(luò)安全視為僅次于監(jiān)管合規(guī)的第二大風(fēng)險來源。

盡管如此，大多數(shù)公司董事會都缺乏網(wǎng)絡(luò)安全專業(yè)知識。去年，獵頭公司Heidrick & Struggles的一項調(diào)查中，僅12%的受訪首席信息安全官（CISO）在公司董事會中占有一席之地。

僅12%的CISO在公司董事會占有一席之地

2021年全球349位CISO董事會經(jīng)歷調(diào)查結(jié)果

這種情況可能即將迎來改變。今年3月，美國證券交易委員會（SEC）公布了一項提案，一旦獲批，執(zhí)行董事會就得負起監(jiān)管公司網(wǎng)絡(luò)安全的法律責(zé)任了。與此同時，在英國，政府已明確計劃要求上市公司發(fā)布“韌性聲明”，其中包含有關(guān)網(wǎng)絡(luò)安全風(fēng)險的具體信息。

Gartner預(yù)測，隨著網(wǎng)絡(luò)安全風(fēng)險意識的不斷加深，到2025年，40%的董事會將擁有“適格董事會成員監(jiān)督下的專職網(wǎng)絡(luò)安全委員會”，而在2020年這一比例還不到10%。CISO在公司董事會上占有一席之地的新氣象很快將會蔚然成風(fēng)。

然而，如何成功實施的問題仍然存在。畢竟，網(wǎng)絡(luò)安全是門技術(shù)性很強的學(xué)科，很多人難以掌握。現(xiàn)任公用事業(yè)咨詢公司Delinea首席安全科學(xué)家的Carson解釋道，讓CISO加入董事會可不像教公司職員一兩條基本安全知識那么簡單。

相反，這事兒涉及觸發(fā)企業(yè)自上而下的文化轉(zhuǎn)型，轉(zhuǎn)向自適應(yīng)的網(wǎng)絡(luò)安全。并且，Carson稱：“我的工作就是維護業(yè)務(wù)韌性，而網(wǎng)絡(luò)安全是我的技能組合。”

網(wǎng)絡(luò)安全人人有責(zé)

越來越多的企業(yè)認同這一點。Gartner針對企業(yè)董事的調(diào)查發(fā)現(xiàn)，88%的受訪者認為網(wǎng)絡(luò)安全不僅僅是IT部門要解決的技術(shù)問題，也是事關(guān)業(yè)務(wù)運營的基本風(fēng)險。考慮到近期私營企業(yè)遭遇的黑客攻擊事件，這種認知毫不令人意外。IBM的企業(yè)數(shù)據(jù)泄露成本調(diào)研結(jié)果則顯示，83%的受訪公司在2021年遭遇了數(shù)據(jù)泄露，平均損失為435萬美元，創(chuàng)了此項調(diào)研開展17年來的歷史新高。

保證CISO在董事會中占有一席之地是確保公司牢牢掌控如何處理此類業(yè)務(wù)風(fēng)險的一個方面。安全公司Proofpoint常駐首席信息安全官Andrew Rose表示，盡管如此，CISO在傳達自己的擔(dān)憂時應(yīng)該小心謹慎。“‘天要塌了’式的敘述可以用一兩次，但在那之后，董事會會變得習(xí)以為常。”

Carson認為，應(yīng)該通過積極的肯定來說服董事會優(yōu)先考慮網(wǎng)絡(luò)安全，而且，理想情況下，專注在如何加強公司的防御上會有助于其長期表現(xiàn)。“你需要向他們展示這將如何幫助企業(yè)取得成功，如何幫助員工更好地完成工作，為股東提供價值，以及回報投資。”他說。

隨著時間的推移，加入董事會可能會使CISO遠離網(wǎng)絡(luò)安全的技術(shù)細節(jié)方面。安全公司eSentir首席信息安全官Greg Crowley闡述道：“這是最理想的狀態(tài)。他們不應(yīng)該被看作是負責(zé)打補丁的人、全部風(fēng)險的所有者，或者防止數(shù)據(jù)泄露的家伙。CISO應(yīng)被視為領(lǐng)導(dǎo)者和高管，并且與其他高管一樣，統(tǒng)管全局。”

這一角色重心的變化非常明顯，以至于在一些公司中，CISO已演變?yōu)椤癇ISO”，即業(yè)務(wù)信息安全官。“他們更符合業(yè)務(wù)語言、業(yè)務(wù)結(jié)構(gòu)和組織結(jié)構(gòu)，尤其是從董事會的角度來看。”Carson表示。

甲骨文和畢馬威最近發(fā)布的威脅報告顯示，超過三分之一的企業(yè)啟用BISO作為業(yè)務(wù)線（LOB）領(lǐng)導(dǎo)，負責(zé)與CISO和CIO合作。還有跡象表明，此類任命開始產(chǎn)生將網(wǎng)絡(luò)安全專家納入董事所想要實現(xiàn)的那種自上而下的文化影響——53%的受訪企業(yè)正聘用或計劃聘任BISO，希望其與LOB經(jīng)理合作，將網(wǎng)絡(luò)安全融入業(yè)務(wù)流程。

效果如何？

考慮到當(dāng)前困擾IT行業(yè)的招聘危機，以及僅過去一年里私營企業(yè)遭遇的勒索軟件攻擊就翻了一番的情況，將網(wǎng)絡(luò)安全融入業(yè)務(wù)流程的重要性尤為凸顯。而且，贖金要求也在持續(xù)上漲，CyberEdge的一份報告解釋道。屈從于贖金支付要求的企業(yè)比例也從2019年的45%上升到了2022年創(chuàng)紀錄的63%。

因此，我們必須了解IT團隊真正要保護的是什么。“這是個社會保護問題，而不僅僅是設(shè)備防護問題，因為我們開始將這些設(shè)備用于所有事情。”Carson稱，“通信、銀行業(yè)務(wù)、文件共享等等。這都成了一種與業(yè)務(wù)重疊的生活方式，我們必須評估其影響。”

理想情況下，成功的董事會級別CISO不僅要確保他的高管同事注意到這一信息，而且要確保公司的每個部門都能注意到。

這事兒說起來容易做起來難。雖然企業(yè)可能需要網(wǎng)絡(luò)安全管道來實現(xiàn)全面安全，但卻缺乏充分支持此類創(chuàng)新的框架。在最近的一篇博客文章中，transpotrt Passport首席信息安全官Mike Privette警告稱，BISO角色可創(chuàng)造出一種環(huán)境，令“集中式安全功能繞過BISO或成為其替罪羊，從而導(dǎo)致高管做出種種嘗試來展示其價值，但往往都失敗了”。

Carson對此表示贊同。“很遺憾，有時企業(yè)的CISO未必會做出改變。有時候他們是替罪羊，有時候他們是條例性檢查項目。”

要讓CISO的工作富有成效，他們必須放大視野，從真正的全局角度審視網(wǎng)絡(luò)安全，與各地政府合作，從而確保自己在企業(yè)內(nèi)部所做的事情對廣大公眾有利。簡而言之，Carson解釋道，引發(fā)公司內(nèi)部關(guān)于如何處理網(wǎng)絡(luò)安全的文化變革，只不過是董事會級CISO工作的開始，因為最終，落實安全措施不僅僅是為了保護你所在的企業(yè)”。

來源:數(shù)世咨詢