免费领取办理费用
行业咨询 > 天磊百科 >

企业应该最关心这6个安全问题,建议收藏

作者:天磊咨询 发表日期:2021-04-16 来源:天磊咨询
数据信息泄露、威胁软件进行攻击加剧了企业董事会对网络系统安全的担忧。安全主管表示,董事会越来越多地参与安全问题,对网络问题有了更深入的了解,并提出了有关风险暴露和风险管理方法的更复杂问题。

很多人仍然将安全视为执行工作的费用,但越来越多的董事会成员将其作为工作的基础。随着我国许多中小企业发展加快数字转换计划,董事会想知道在员工越来越分散的环境下,安全问题如何支持变化措施以满足经济业务市场需求。

麦当劳首席信息官蒂莫西·扬布拉德(Timothy Youngblood)表示:“董事会越来越意识到技术和安全问题。”他说:“由于受到SEC的一定影响,董事会也期待具备一定的技术专长。”他们受到了全国企业史协会和其他机构对网络安全的很多指责,因此董事会现在向安全领导人提出的问题也发生了很大的变化。根据Youngblood等研究,下面列出了我国目前公司董事会最关心的6个问题。

1.网络责任
风险管理公司VigiTrust的首席执行官、新书《董事会中的在线大象》(The Online Elephant In The Board)的作者马蒂厄·戈尔奇认为,首席信息官应该做好更好的准备,回答董事会关于在线责任的问题。Gorge介绍说,“网络社会责任”是指一个企业部门有能力证明拥有良好的网络经济环境,如果没有出现一些问题,可以通过跟踪所有这些问题,移动到特定事件、人或群体。
首席信息官必须准备好说明网络问责制是什么,企业为什么需要关心,如何开始网络责任旅行,以及包含什么。Gorge说:“是为了证明自己能应对网络攻击,还是更好呢?”说。和谁有关,费用多少,我们真的需要吗?”“。
安全领导人在阐明应对措施时,请注意理事会真正想听到的是企业对整个生态系统的问责制。也就是说,安全领导者不仅要能够说明自己的部门,还必须能够说明特许经营商、子公司、业务合作伙伴、供应商和其他第三方如何实施安全最佳实践。
这种生态系统可以是国际的,复杂的、经常冲突的规定和标准来规范,这一切都要承担一定的责任。Cio必须准备好回答自己在做什么,或者计划做什么来表明自己的责任。“能画出生态系统图来展示吗?可以使用显示正在发生什么的控件来展示吗?能否说明企业内各相关人员的数据访问权限已分类?”

2.传染病及未来安全状况
商业支付服务公司弗利特科的首席信息官詹姆斯?埃德加(JamesEdgar)表示,在疫情爆发后,人们转向远程业务,董事会关于网络安全的问题更加突出。
从IT和整个企业业务管理部门的角度分析来看,很多可以直接关注的焦点是转向远程业务如何影响公司业务运营方式。这些问题包括企业是否有能力将大部分员工迁移到远程工作模式,以及是否仍能支持业务。
Edgar表示,委员会收到的问题包括与业务连续性有关的问题,以及在病毒爆发时已实施的大型IT项目的影响。“我们能做好最重要的事吗?能否保持当前的安全和法规遵从性水平?我们的标准问题是什么,当我们可以摆脱新冠肺炎疫情时,我们能达到通过这些国家标准吗?”
随着事态的稳定,企业在后流行世界保持安全态势的能力和为实现这一目标将采取何种投资方式成为焦点。埃德加表示,对他来说,有效的策略之一,就是每季度向董事会报告安全领域的威胁和重要趋势。他说:“我们定期提供恐吓软件、端点保护、网络监控和我们所做工作的最新信息。在安全问题上,我们Fleetcor不是一个独立的,而是需要放眼未来世界,天下主义兼备。`

3.安全策略
Youngblood表示,与几年前相比,董事会对网络安全的思考更具战略性。很多董事将网络信息安全管理视为一个自己的本职工作能力也是理所当然的责任和忠诚义务。
Youngblood表示:“今天面临的问题是如何处理第三方等不受控制的事情。在外包如此之多的今天,董事们希望听到企业网络安全投资是如何受到保护的。他们想知道企业得到了我们什么,以及学生是否有影响业务管理目标的因素。
Youngbrue说,董事会喜欢听到公司是否在威胁成为主要问题之前有控制来检测威胁。他们想知道网络信息安全管理是否与数字转换链紧密相连,安全问题是否内置于所有发展阶段,而不是最后通过添加。他表示,董事会需要注意的是,虽然企业尚未进行,但他越来越想了解可能对网络风险产生不利影响的投资。
回答这些问题可能会很棘手,所以最好让CIO、CPO和其他相关人士在董事会会议上自由发言。他说,在与董事会讨论企业战略管理安全教育问题时,你的发言不能惊动首席财务信息官。了解董事会的风险偏好,确保网络安全风险在企业财务风险进行管理范围内。杨布拉德说:“我推荐的方法是从谈论工作和工作成果开始。我不会用非常具有战略意义的方式交谈。”

4.对行业最佳实践进行基准测试
云服务平台提供商Netenrich的首席财务信息官Brandon  Hoffman表示,董事会很关心该企业的安全管理状况比同事好多少,差多少。一个原因可能是,在发生泄密事件时,公司的安全措施通常会与行业最佳实践或同事采用的实践进行比较。
Hoffman表示:“最高层对了解行业发展相关企业风险管理非常感兴趣。"这种比较本身往往对创造更安全、风险更低的环境没有多大帮助。尽管如此,很多企业董事还是学生希望通过这样做,因为在工作生活环境中几乎没有进行有效地衡量安全性的方法。
Hoffman表示:“Chief信息安全(CIO)最大的失误之一是不将与安全相关的风险与业务风险相关联。相反,报告往往侧重于合规框架和技术措施,这些充其量只是日常工作的指标。这确实无助于理解高管或董事会对工作的影响。`

5.抵抗网络攻击
董事会不仅在战略和企业财务风险管理层面对社会网络信息安全问题越来越感兴趣,而且还深入学生参与了企业可以抵抗和应对网络攻击的工作。Thycotic首席信息官顾问兼首席运营官Joseph  Carson表示,应使用员工、流程和技术将风险降至最低,同时在生产力和安全性之间保持适当的平衡。
董事会可以询问首席信息官需要准备解释的问题,包括主要业务服务暴露在威胁软件中的风险、威胁软件或其他攻击对业务服务的影响的措施。他说:“哪些威胁会对业务产生最大的影响,有哪些财务风险,有减少风险的选项。”我们的网络风险差距有多大?例如,减少风险的成本与不采取任何措施的成本相比如何?”“。

回答有关事件响应计划的问题,并准备是否对所有可能对业务产生严重影响的威胁进行了测试。卡森说:“我们应该采取什么措施来细分业务的各个部分并控制访问权限?”的图表中。


哪些法规和法规遵从性要求、哪些法规、未满足的法规和法规遵从性要求如何符合业务网络风险?”

6.持续遵守

Gorge表示,必须准备讨论持续的法规遵从性和持续的安全。董事会成员经常会问,对网络安全的投资需要多长时间才能获得公司的收益。他说:“人们会问的,好吧,我们这样做吧。那么在未来几年里会保持得很好,对吧?或者我们需要继续投资?”Gorge在这里表示,CIO和其他安全领导人应该引入安全和合规不是结束的过程的概念。他们必须进行明确,随着经济业务的发展,安全管理需求也在不断变化。重要的是,安全领导人要强调对资金、时间、能源等网络安全持续投资的必要性。请说明3~5年来,这些投资如何降低成本、加强安全、增强客户信任和获得其他实际好处。


Gorge 表示:"在网络问责制和持续合规的背景下,CIO 面临的最大挑战是演示网络安全如何成为业务驱动因素,而不是简单的成本。”不是说“如果我们不这样做,就会发生安全事故”,而是说如何利用现有的模式,如何提高真正的价值,而是把网络安全纳入资产负债表。
收藏
发送