在过去的一年中,全世界的企业IT团队惊恐地看着一个又一个代价高昂且破坏力巨大的企业安全漏洞突然出现在各大头条新闻中。但是这些吸引眼球的消息只是冰山一角。数字技术的使用范围每天都在扩大,潜伏在暗网中的网络犯罪分子的数量也在不断增加,这些网络犯罪分子已经准备好并很乐意利用他们所能发现的技术中的任何弱点。因此,正如《首席安全官》的《2018年美国网络犯罪现状调查》中所强调的那样,各种形式和规模的组织都遭受了网络攻击的冲击并遭受了数十亿美元的经济损失。
这些令人不快的趋势正在使越来越多的公司更加认真地对待IT安全,这当然是好事。但问题仍然存在于治理方面。
威胁检测更加严格
虽然组织在安全性方面所投入的时间和资源比以往任何时候都多,但它们仍难以掌握不断变化的威胁形势。事实上,调查中大约有四分之一(23%)的公司宣布,它们的损失比去年还要大。
事实上,工作场所数字化暴增的一个缺点是,犯罪分子的活动范围也随之扩大了。接入公司网络的设备越多(在运用物联网用例的一些组织中,终端可能多达数十万或数百万个),犯罪分子就越有可能发现入侵的方法。使事情更复杂化的是:渐渐地,市场需要建立更多的联系——公司和客户之间以及合作伙伴和供应商之间。但在当今的数字环境中,更大的访达性实际上意味着更大的攻击面。
更多样化的基础设施格局也带来了另一个陷阱:这使破坏行为更难发现。2016年,从入侵到检测到攻击要80.6天。2017年要92.2天,2018年要108.5天。这也表明,网络犯罪分子变得越来越狡猾并正在发动更复杂的攻击。
加强监管框架
这一切所产生的后果是,安全事件对企业的影响比以往任何时候都大。无论是因为泄密而暴露了大量个人身份信息(PII)方面的数据,还是因为DDoS攻击而使企业停业数小时或数天,受损的可不仅仅是收益。公司的品牌和声誉也会受损——这两个词会引起客户和股东的强烈共鸣,更不用说其他的利益相关者了,如合作伙伴和供应商。
有鉴于此,各大公司正在重新审视监管框架并对其进行重写,这是完全可以理解的。在成功进行网络攻击后,接受《首席安全官》调研的84%的受访者必须通知个人、监管机构、受影响的企业;或者是政府。2017年,这一数字仅为31%。
人们向董事介绍安全问题
根据该报告,58%的公司表示,它们的高级安全管理人员至少每季度向董事会介绍网络问题。不让董事会了解安全性问题的公司越来越少了,从2017年的29%下降到2018年的19%。
虽然这些公司取得了一些不可否认的进展,但它们依然任重而道远——而且,报告指出,似乎高层管理人员才是最佳起点。受访者表示,在所有最需要安全教育和培训的组织中,高管们首当其冲,55%的受访者是这样表示的。
另一个需要改进的领域是为基本的安全性做好准备。调查发现,虽然66%的组织比去年更担心网络攻击,但很多组织仍然没有充分采取先发制人的措施或后攻击措施。只有65%的人有正式的事件响应计划,而这些人只有44%的人每年至少要对这个计划做一次测试。这里的危险是显而易见的:当攻击发生并且必须做出反应立即进行协调时,一切都变得更加复杂,并且事情出错的几率更高。
处理治理问题
直接向首席执行官汇报的安全主管的比例从2017年的35%下降到去年的28%。与此同时,向首席信息官汇报的首席信息安全官的百分比从2017年的16%增加到2018年的25%。从公司治理的角度来看,这似乎是一个积极的发展。但果真如此吗?这些领域之间可能存在利益冲突吗?
通常,当公司采用新的应用程序、平台或数字服务时,它们希望尽快推行,这是可以理解的。它们可能在新服务上投入了大量资金,它们希望将其投入使用,从而获得投资回报。但有时候,在公司急于求成时,安全性和漏洞分析没有得到充分的关注,或者至少被低估了——如果发生了原本可能避免的严重破坏,这可能会再次困扰公司。
为了降低这种情况发生的风险并从长远来加强治理,组织应考虑向首席信息安全官放权,让他们直接向首席风险官(CRO),首席执行官或董事会汇报。如果做不到这一点,出了问题,首席信息官总是受到指责。但是,真正问题并不是秋后算账,而是一开始就考虑如何防止安全事件发生。
京公网安备 11010502049343号