保护数字资源和管理网络风险的人才、过程和技术,是维系企业和社会稳定繁荣的基础。即便如此,在很多企业中,董事会和高管层才刚刚开始真正参与到网络安全策略和管理中来。
达斯达克最近的一次调查,凸显了跨国企业高层在网络安全意识和责任上的缺失:太多董事会成员和高管理解不了安全简报,不愿承担数据泄露的责任。
联网技术和设备、大数据,以及网络犯罪的同时引爆,导致了新高管角色的更广泛采纳,比如首席安全官(CSO)、首席信息安全官(CISO)和首席数字官(CDO)。随着信息监管、风险管理和合规在范围和复杂度上的增长,让高管层焦虑忙碌的的高级策略和监督责任更多了。然而,如果角色未能清晰定义,或者协作不力,新增的责任也会引入混乱和低效。
涉及网络安全问题,董事会成员和核心高管,尤其是没有直接参与部署安全项目的那些,能否完全融入并持续做出贡献是极为重要的,比以往任何时候都重要。
CEO(首席执行官)、CFO(首席财务官)、CIO(首席信息官)和CMO(首席营销官)之类的角色在过去十年里经历了重大转型。企业领导的公众监督创了历史新高,部分原因是大量黑客事件和全球数据泄露事件的爆发。过去几年的经验越来越表明,在数据泄露事件中,被黑企业会被追究完全责任并被大家斥责。因此,高管层的每一个人,都可能面对着巨大的压力。
不过,好消息是,高管们开始对保护企业资产、数据、员工和客户的安全措施投以更多的注意了。警示故事、末日场景和公众羞辱的威胁起到了重要影响。高管意识和参与最终得到了提升,但建立坚固的防线需要持续的战略性的协作。主管们必须从上至下地推行责任文化,确保他们的意思传达到企业各层级。
只有在高管们用自己的专业知识和特殊地位帮助确立优先级,并保持安全工作符合企业目标的情况下,全方位照顾到防御、风险管理、预防、检测、修复和事件响应才会更加可行。我们可以来看一下高管中每个角色的职能和地位。
CEO
CEO的位子可不好坐,常常面对着千头万绪的工作。他们要处理不断涌入的IT基础设施及服务相关新规则和风险因素,确保企业正常运转。这些挑战只能通过协作性的团队工作来应对。建立完备健壮的网络安全项目,需要来自CEO的强大领导力,以及与董事会和其他高管协作打破传统职能樊篱重新定义角色的意愿。通过保持安全项目符合公司战略目标,CEO可帮助公司获取竞争优势,自信把握新兴机会。
为保持对公司安全准备程度的准确大局观,CEO必须主动征求并提炼来自不同利益相关者关于安全的顾虑、意见和建议。确保团队用“何时”而非“是否”发生安全事件的思维思考问题是十分重要的——网络攻击太多太复杂,认为可以完全规避掉是十分愚蠢的想法。
数据泄露发生时,你必须拿出快速有效的事件响应;响应越快,结果越好。在监管者和消费者眼里,信誉是由全面持续的网络安全工作支持的。CEO必须展示出通过安全分析、培训、计划和测试有意建立的快速恢复策略。CEO通过强调持续沟通与协作的重要性来领导全局。在整个公司和供应链范围内倡导安全意识文化,可以加强公司的防御;“内部人士威胁”依然是最常见的攻击界面。
CFO
网络罪犯直接或间接地攻击财务系统,各种类型的数据泄露持续影响公司的底线。这些持续的威胁,需要CFO紧密参与进安全措施和网络风险管理中来。CFO还忙于偷盗、浪费和供应链问题导致的资金损失,所有这些都可能源于网络事件或被网络事件激增放大。
从内部运营到投资人关系,CFO角色的每一个部分都涉及高度敏感的数据,这些数据必须被严格管控和保护。为履行他们基于信任的职责,CFO必须保有对这些关键信息的存储位置、潜在的窃贼和窃取方式的深入了解。他们的职责包括向董事会揭示网络攻击的潜在影响。这就要求CFO们将安全风险集成到关于投资、规程和合作伙伴关系的讨论和决策中。分析网络保险和安全解决方案的可行性和成本效率也落在CFO的职责范围内。另外,CFO还应该紧密参与到公司事件响应计划的起草和演练部分,与股东、合作伙伴、供应商和客户进行沟通。
在倡导和推进可促进公司长期增长的关键投资上,CFO也扮演着重要的角色。有前瞻眼光的CFO,能认识到网络安全投资作为保护信誉、股价、金融资源和专利信息主要方式的重要性。
CIO
CIO这个角色,当然是与网络安全责任紧密相连的。CIO明显能从更广泛的协作方法中收获最多。集结了公司各领域菁英的统一的前端,明显比只依靠IT团队构建的薄弱防线有力得多。
随着CISO和CDO之类新的角色加入分担工作量,CIO们应担负起将非技术类高管和董事会成员拉进来的责任。他们的新方针,是精于协调所有利益相关者,为安全项目获取更好的资金和支持。他们必须用商业和风险的语言陈述问题,说服董事会和投资者认同IT与风险管理之间的重要联系。董事会想要的是定期更新的指标和评估,以便进行不同时期的比较。将这些数据形成准确全面的信息技术风险视图的方法,也是董事会需要的。纳斯达克调查发现,大部分董事会成员,尤其是那些防护脆弱的公司里的,就不能理解网络安全报告。CIO的工作,就是桥接起这危险的认知空白。
维持技术收益、安全控制和风险管理之间的有效平衡,是CIO的职责所在。通过将自己的工作与商业战略目标相吻合,CIO将能更紧密地与其他高管同事协作,塑造商业决策、有竞争性的战略和可持续的创新。
CMO
CMO(首席营销官)照顾着与客户的联系比以往任何时候都更紧密的数字王国,所以,他们的角色近几年来见证了巨大的改变丝毫不令人感到惊讶。手机营销、社交媒体、广告技术和大数据带来的进步,推动了消费数据的巨量增长,可供营销目的进行收集和分析。这些数据大多受到隐私条例的监管,管理这些数据的部分工作,就是要保护数据不被窃取和滥用。毕竟,网络罪犯对这些数据的兴趣,跟你也是一样的。数据驱动的市场营销取决于客户的信任,而频现报端的重大数据泄露事件正在侵蚀这份信任。
品牌和客户间关系受网络攻击余波损害的事情越来越多。数据泄露事件中,CMO身处前线和焦点。所以,他们应确保自身是事件响应和数据安全计划中的一部分。近期事件的重大教训之一,就是财务和信誉伤害是被放大还是缓解,取决于品牌响应的快速性、可信度和效率。只要客户感受到透明度或关切度的缺失,CMO的所有努力就会灰飞烟灭。
今天的企业中,CMO的部门驱动着基于数字的增长。董事会和管理团队依赖他们来引领品牌、产品和创新工作获得竞争优势,同时又避免与数据隐私法规冲突。确保品牌堂堂正正鹤立鸡群,就是CMO的工作。
责任从顶层开始
高管具备公司组件内部互联方式的最清晰全面视图。对共同价值和战略的认真共享的承诺,是管理团队和董事会间构筑良好关系的基石。只有通过真诚持续的协作,网络犯罪和网络间谍这类的复杂威胁才能被妥善管理。缺了同步监管,风险因素将长驱直入。
跨国企业里往往会有很多元素超出高管的控制,传统风险管理的敏捷度也不足以应付网络空间活动的危险。夯实准备的基础,高管们可以基于供公司耐受度和风险概况评估威胁界面,打造网络恢复力。将企业导向准备充足、响应及时、恢复有效的位置,是保护资产安全,保护客户、合作伙伴和雇员安全的确切方式。
所有高管挺身而出,担负起桥接意识和行动间空白责任的时候到了。今天这种不断扩张的全球网络威胁态势下,想要扛住持续的动态的网络威胁,企业需要自顶向下打造根深蒂固的安全和责任文化。
本文转自d1net(转载)