日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
每個CISO都應(yīng)準備好回答的6個董事會內(nèi)有關(guān)安全的問題

新型冠狀病毒的大流行和網(wǎng)絡(luò)犯罪活動的激增已經(jīng)引起了公司董事會對安全問題的興趣。

數(shù)據(jù)泄露、勒索軟件攻擊以及對全球疫情相關(guān)風(fēng)險的擔(dān)憂,提高了企業(yè)董事會對網(wǎng)絡(luò)安全的興趣。安全領(lǐng)導(dǎo)人表示,董事會已經(jīng)開始越來越關(guān)注安全問題,對網(wǎng)絡(luò)問題也有了更深刻的理解,并開始就風(fēng)險暴露和管理方法提出了更復(fù)雜的問題。

盡管許多人仍將安全視為是業(yè)務(wù)經(jīng)營的一項成本,但越來越多的董事會成員已經(jīng)開始認為安全性是業(yè)務(wù)的基礎(chǔ)了。隨著許多公司在疫情爆發(fā)后加速了數(shù)字化轉(zhuǎn)型計劃,董事會希望了解在勞動力分布更加分散的環(huán)境中,安全性將如何能夠支持這些努力并支持業(yè)務(wù)需求。

“董事會對技術(shù)和安全的理解已經(jīng)變得更加精明了,”麥當(dāng)勞的首席信息官Timothy Youngblood說,“他們在一定程度上受到了證交會的驅(qū)動,他們期望董事會具備一定水平的技術(shù)專長?!?。他們還得到了美國企業(yè)董事協(xié)會和其他機構(gòu)在網(wǎng)絡(luò)安全方面的大量指導(dǎo)。

因此,董事會現(xiàn)在向安全負責(zé)人提出的問題也發(fā)生了改變。根據(jù)Youngblood以及其他人的說法,以下是當(dāng)今人們最關(guān)心的六個問題。

1. 網(wǎng)絡(luò)問責(zé)

風(fēng)險管理公司VigiTrust的首席執(zhí)行官、新書《董事會中的網(wǎng)絡(luò)大象》的作者Mathieu Gorge表示,首席信息官需要更好地準備回答董事會中關(guān)于網(wǎng)絡(luò)問責(zé)的問題。網(wǎng)絡(luò)問責(zé)是指一個組織證明自己有良好的確保網(wǎng)絡(luò)安全的能力,如果出現(xiàn)問題,他們可以將一切追溯到一個獨特的事件、獨特的人或獨特的群體,Gorge說。

CISO需要準備好解釋什么是網(wǎng)絡(luò)問責(zé),為什么組織應(yīng)該關(guān)心,該如何開始網(wǎng)絡(luò)問責(zé)之旅,以及它包括了什么。“這只是證明我們能夠應(yīng)對網(wǎng)絡(luò)攻擊,并且我們有一個計劃,還是不止于此?它需要涉及到誰,需要花費多少,或者說我們真的需要它嗎?”Gorge說。

在闡述應(yīng)對措施時,安全領(lǐng)導(dǎo)者需要記住,董事會真正想聽到的是對整個業(yè)務(wù)生態(tài)系統(tǒng)的問責(zé)。這意味著,除了他們自己的組織之外,安全領(lǐng)導(dǎo)者還需要能夠描述他們將如何讓加盟商、子公司、業(yè)務(wù)合作伙伴、供應(yīng)商以及其他的第三方對實施安全最佳實踐負責(zé)。

這一生態(tài)系統(tǒng)可以是國際性的,也可以由復(fù)雜而且往往相互沖突的條例和標準來管理,所有這些都需要一定程度的問責(zé)制。CISO需要準備好回答他們可能在做什么,或者計劃做什么,以證明這種問責(zé)制?!澳闶欠衲軌蛲ㄟ^繪制一個生態(tài)系統(tǒng)圖來展示它,是否能夠使用一個向你顯示正在發(fā)生什么的控件來展示它,是否能夠表明你已經(jīng)分類了組織內(nèi)各個利益相關(guān)者對數(shù)據(jù)的機密訪問權(quán)限?”

2. 新冠病毒疫情期間及以后的安全狀況

商業(yè)支付服務(wù)公司Fleetcor的CISO James Edgar表示,全球的新冠病毒疫情促使人們轉(zhuǎn)向了遠程工作,這也使得人們會更加關(guān)注董事會已經(jīng)在網(wǎng)絡(luò)安全方面提出的問題。

從IT的角度和整體業(yè)務(wù)的角度來看,當(dāng)前的重點是向遠程工作的轉(zhuǎn)變將如何影響業(yè)務(wù)的運營方式。這些問題與組織是否能夠?qū)⒋蟛糠謫T工轉(zhuǎn)移到遠程模式并且仍然能夠支持業(yè)務(wù)有關(guān)。

Edgar說,他從董事會接收的問題包括與業(yè)務(wù)連續(xù)性有關(guān)的問題,以及新冠病毒疫情來襲時對已經(jīng)在進行的主要IT項目的潛在影響?!拔覀兡芊駜冬F(xiàn)我們所認為的至關(guān)重要的大事?我們能夠保持當(dāng)前的安全性和合規(guī)性水平嗎?我們的基準是什么?當(dāng)我們走出新冠病毒疫情時,我們將達到這些標準嗎?”

隨著事態(tài)的穩(wěn)定,焦點已經(jīng)轉(zhuǎn)移到本組織在后新冠肺炎的世界里保持其安全態(tài)勢的能力,以及為實現(xiàn)這一目標將采取的投資措施。Edgar說,對他有效的一種策略是,每季度向董事會提供有關(guān)威脅狀況和安全領(lǐng)域大趨勢的最新信息。“我們會定期向他們提供有關(guān)我們所看到的情況以及我們在勒索軟件、端點保護、網(wǎng)絡(luò)監(jiān)控方面所做工作的最新信息?!?/p>

3. 安全策略

Youngblood說,與幾年前相比,董事會對網(wǎng)絡(luò)安全的思考已經(jīng)變得更具戰(zhàn)略性。許多董事將網(wǎng)絡(luò)安全視為其信托責(zé)任的一部分,也是其應(yīng)有的謹慎和忠誠的義務(wù)。

“你今天所面臨的問題是,你該如何處理不在你控制范圍內(nèi)的事情--就像是第三方一樣,”Youngblood說。如今有這么多的外包業(yè)務(wù),董事們想聽聽企業(yè)網(wǎng)絡(luò)安全投資是如何受到保護的。他們希望了解組織從中獲得了什么,以及是否有任何可能影響業(yè)務(wù)目標的東西。

Youngblood表示,董事會喜歡聽取組織對網(wǎng)絡(luò)事件的準備情況,以及在威脅成為主要問題之前是否有檢測威脅的控制措施。他們想知道網(wǎng)絡(luò)安全是否是以這樣一種方式與數(shù)字化轉(zhuǎn)型聯(lián)系在一起的,即安全是建立在每一個步驟中的,而不是固定在最后的。值得注意的是,董事會也越來越想知道該組織可能沒有進行的任何可能對網(wǎng)絡(luò)風(fēng)險產(chǎn)生負面影響的投資,他說。

回答這樣的問題可能很棘手,這就是為什么讓CISO、CPO和其他利益相關(guān)者在董事會上發(fā)揮作用是一個好主意。在與董事會討論戰(zhàn)略安全問題時,也要確保你的演講不會讓CISO感到意外,他說。要了解董事會的風(fēng)險偏好,并確保能夠?qū)⒕W(wǎng)絡(luò)風(fēng)險納入企業(yè)風(fēng)險管理的更廣泛背景當(dāng)中。

“我推薦的方法是從能夠談?wù)摰臉I(yè)務(wù)和業(yè)務(wù)成果開始,”Youngblood說?!拔也粫靡环N更有策略性的方式進行談話?!?/p>

4. 對照行業(yè)最佳實踐進行基準測試

董事會對其組織的安全狀況與同行相比有多好(或多差)非常感興趣,云服務(wù)提供商Netenrich的CISO Brandon Hoffman表示。一個驅(qū)動因素可能是,在違規(guī)情況下,公司的安全措施會經(jīng)常與行業(yè)最佳實踐或同行所采用的實踐進行比較。

“最高層對了解與行業(yè)相關(guān)的風(fēng)險有濃厚的興趣,”Hoffman說。這種比較本身往往無助于營造一個更安全、風(fēng)險更低的環(huán)境。即便如此,許多董事會還是希望這樣做,因為在業(yè)務(wù)環(huán)境中,有效度量安全性的方法很少。

“CISO犯的最大錯誤之一是沒有將與安全相關(guān)的風(fēng)險與業(yè)務(wù)風(fēng)險聯(lián)系起來,”Hoffman說?!跋喾?,報告會圍繞著合規(guī)框架和技術(shù)度量展開,”這些充其量只是日常行動的指標。“不幸的是,這確實無助于高管或董事會了解其對業(yè)務(wù)的影響?!?/p>

5. 抵御網(wǎng)絡(luò)攻擊的能力

雖然董事會在戰(zhàn)略、企業(yè)風(fēng)險管理層面對網(wǎng)絡(luò)安全越來越感興趣,但他們?nèi)匀粫钊雲(yún)⑴c與組織防御和應(yīng)對網(wǎng)絡(luò)攻擊的能力有關(guān)的事務(wù)?!八麄兿胫滥闶侨绾卫萌藛T、流程和技術(shù)來盡可能地降低風(fēng)險,同時保持生產(chǎn)力和安全性之間的適當(dāng)平衡的,”CISO顧問和首席安全科學(xué)家Joseph Carson說。

董事會可能提出的問題,以及CISO需要準備解釋的問題,包括關(guān)鍵業(yè)務(wù)服務(wù)面臨勒索軟件等威脅的風(fēng)險,以及為降低勒索軟件或其他攻擊對業(yè)務(wù)服務(wù)的影響所采取的措施?!澳姆N威脅最有可能影響到業(yè)務(wù),有哪些財務(wù)風(fēng)險和降低風(fēng)險的選項,”他表示?!拔覀兊木W(wǎng)絡(luò)風(fēng)險差距有多大,又比如降低風(fēng)險的成本與完全不作為的成本?”

準備好回答關(guān)于事故響應(yīng)計劃的問題,以及你是否已經(jīng)測試了對業(yè)務(wù)最有可能的潛在威脅?!拔覀円鍪裁磥砑毞謽I(yè)務(wù)的各個部分并控制訪問權(quán)限?”Carson說?!拔覀兂隽四男┓ㄒ?guī)和合規(guī)要求,達到了哪些要求,或未達到哪些要求,以及它們是如何與業(yè)務(wù)網(wǎng)絡(luò)風(fēng)險保持一致的?”

6. 持續(xù)合規(guī)性

你需要準備好談?wù)摮掷m(xù)的合規(guī)性和持續(xù)的安全性,Gorge說。董事會成員往往會問,在網(wǎng)絡(luò)安全方面的投資能為公司贏得多少時間?!皢栴}是,‘好吧,我們要這樣做一次,這會讓我們在幾年里保持良好,對嗎?或者我們需要持續(xù)這樣做嗎?’”他說。

這就是為什么CISO和其他安全領(lǐng)導(dǎo)者需要引入這樣一種理念的原因,即安全性和合規(guī)性是一個旅程,而不是目的地,Gorge說。他們需要證明,隨著業(yè)務(wù)的發(fā)展,安全的需求也在不斷變化。重要的是,安全領(lǐng)導(dǎo)人應(yīng)該強調(diào)需要在資金、時間和精力方面持續(xù)對網(wǎng)絡(luò)安全進行投資。解釋在三到五年的時間里,這些投資將如何降低成本、提高安全性、提高客戶信心以及會帶來哪些其他切實的好處。

在網(wǎng)絡(luò)問責(zé)和持續(xù)合規(guī)性的雙重背景下,CISO所面臨的最大挑戰(zhàn)是展示網(wǎng)絡(luò)安全將如何成為一種業(yè)務(wù)推動因素,而不僅僅是成本,Gorge說。“與其說‘如果我們不這樣做,就可能會發(fā)生安全事故’,不如展示你將如何利用現(xiàn)有的模型,以一種實際上能夠增加價值的方式,將網(wǎng)絡(luò)安全納入到資產(chǎn)負債表當(dāng)中?!?/p>
網(wǎng)頁題目:每個CISO都應(yīng)準備好回答的6個董事會內(nèi)有關(guān)安全的問題
瀏覽路徑:http://www.dlmjj.cn/article/djoppie.html