安全漏洞似乎总是会出现在新闻当中,但只有少数组织正在通过积极的减少网络风险来保护自己免受这些威胁。波耐蒙研究所的研究显示,63%的CISO会不定期的向其组织的董事会汇报,而40%根本不向董事会汇报。大多数企业仍然对网络安全采取着被动应对的方式--即只在事件发生时才进行处理,而不是提前规划--这使得它们将更容易受到网络犯罪的攻击,并使它们的数字化转型战略面临风险。
而无论它们是通过勒索软件、数据盗窃还是DDoS攻击发生的,安全事件都可能给任何组织(无论大小)带来麻烦--一些代价高昂、破坏声誉的麻烦。
缺乏董事会的参与和问责
尽管如今的公司正越来越依赖于IT系统的正常运行,但企业高管和董事会的成员仍然坚持他们应对网络风险的策略。40%的CISO从来不向董事会报告,并且研究结果也表明,普遍缺乏问责制。尽管网络犯罪呈直线上升的趋势,而且打击成本也越来越高,但也只有14%的人在安全漏洞发生后会向董事会报告--通常是在为时已晚的时候。
但是,即使公司董事们了解公司面临的紧迫的网络安全问题,许多人也往往不会采取行动。在波耐蒙的调查中,近三分之一的CISO表示,他们的董事会或首席执行官决定或批准了公司可接受的网络风险水平,其中只有21%的人表示,他们的董事会或首席执行官要求在并购期间进行网络安全尽职调查。当然,在每一笔新的并购交易中,该公司都有可能承担更多的网络责任,因为如果出现安全漏洞,这些网络责任就可能会导致大量的监管和法律罚款。以一家被大型企业收购的创新型初创企业为例:例如,GDPR会根据该公司的总营收来计算罚款,而该公司的总营收通常会显著高于新收购的实体的总收入。
总体而言,调查结果显示,高管层和董事会成员没有在公司内部承担足够的网络风险责任。因此,网络风险正被淡化和下放,而企业高管却不知道发生了什么,不知道关键的企业数据、基础设施和其他数字资产可能面临着怎样的危险。这种松懈的态度向公众传递的信息不是积极的。
预防而不是被动应对网络风险
大多数组织并不会定期进行监控和分析,而是抱着最好的希望,然后总是在事件发生后才做出反应。例如,近70%的CISO表示这是他们组织处理网络安全的方式,63%的CISO称他们可以使用更好的监控工具。换句话说,这不仅仅是因为公司在网络安全方面采取了松懈的做法;他们中的许多人也或多或少对他们面临的真正威胁一无所知。超过一半的受访者承认,是他们的IT安全设备在覆盖方面存在漏洞或其他缺陷,使他们成为了网络罪犯的目标。
事实上,只有24%的受访者认为他们的测量和度量方案是“成熟的”,而30%的人认为是“不完全的”。剩下的似乎则是混乱的程序问题。此外,多达40%的CISO承认他们没有量化或监控他们的网络风险态势,只有39%的CISO将他们的发现提交给了董事会。
考虑到庞大的数据量和开放基础设施以实现价值链和供应链互联的商业需求,追踪网络威胁正在变得越来越困难。然而,当涉及到网络攻击时,为了将损害降到最低程度,缓解的速度是至关重要的。再加上网络专家的极度缺乏,人们产生了一种错觉,以为投入人力就能奏效。此外,人为错误仍然是IT服务链失败的主要原因之一。为了确保对威胁和警报的即时响应,组织还必须依靠自动化和机器学习。
需要新的企业心态
许多组织已经升级了他们的IT基础设施,并投资于新的技术、应用程序和数字平台。但与此同时,组织、流程和治理模式都是过时的,无法跟上时代的步伐。将近一半的组织没有测量或跟踪他们的网络风险,而那些有测量或跟踪的组织中,也没有多少人会让董事会知道他们发现了什么。
虽然这种方法在模拟世界中可能会有效,但在数字化的时代,它会导致不必要的风险增加,而且不再适用。数字业务会不可避免地与新的风险联系在一起,因为收入、利润和声誉将越来越依赖于有弹性的IT运营。因此,CISO的职能需要更多的花时间在董事会上。忽视这一点或将其委托出去都是错误的。
我们需要的是一种范式转变--一种新的企业心态,重视并尊重网络弹性,并将IT服务和数据的完整性和可用性理解为数字经济中的差异化因素。但波耐蒙说,要想让这一切都奏效,唯一的办法是公司董事会能够对它优先进行考虑。
“企业文化总是在顶层形成的。如果企业领导人不积极致力于确保强有力的网络安全态势,就会发出这样的信息:网络安全不是一个关键任务,”波耐蒙研究所的创始人兼董事长Larry Ponemon表示。“当公司遭遇数据泄露或其他安全事件时,董事会和高管层通常也会受到攻击,因此他们必须积极主动地识别和弥补安全漏洞。虽然大多数公司都有一名高管负责准确确定其网络安全战略的效力,但他们也需要定期向高层领导和董事会通报这些发现。”
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号