CIO如何應對網絡攻擊

如果人們像大(dà)多數企業的首席信息官(CIO)一(yī)樣，在處理網絡威脅方面可能會有一(yī)種無法确定和沒有防備的感覺，那麽實際上有這樣的感覺是對的。

　　調研機構畢馬威會計師事務所的Steve Bates表示：“網絡攻擊者比以往更具組織性和複雜(zá)性。無論這攻擊是來自企業的競争對手，流氓國家，還是激進主義團體(tǐ)，他們正在使用更好的工(gōng)具，獲得更多的資(zī)金進行攻擊。這些網絡犯罪分(fēn)子具備對各種組織造成重大(dà)損害的手段和能力。”

　　盡管網絡風險和信息技術安全成爲各行各業日益關注的問題，但這一(yī)擔憂并沒有轉化爲有效的行動。根據哈維納什/畢馬威的2017年首席信息官的調查報告，隻有21%的IT領導人表示在确定和處理目前或近期的網絡攻擊方面做得“非常好”，與去(qù)年相比下(xià)降了4%，與過去(qù)四年相比下(xià)降了28%。

　　雖然針對大(dà)型企業的網絡襲擊被廣泛宣傳，比如Petya，WannaCry和Cloudbleed，其實還有更多的網絡違規事件發生(shēng)，隻是很少對外(wài)公布。根據調查顯示，近三分(fēn)之一(yī)的受訪者表示在過去(qù)的兩年裏發生(shēng)過重大(dà)的網絡安全事件。而對于大(dà)型企業而言風險更大(dà)，一(yī)半以上的大(dà)企業表示最近遭遇了網絡襲擊。

　　這些網絡攻擊對各個組織造成了沉重的代價。每次違規事件平均損失近400萬美元。這還不包括增加保險費(fèi)用、聲譽損害、客戶關系損害，以及知(zhī)識産權(IP)潛在損失的成本。

　　企業成功的障礙

　　很多公司都清楚地認識到，爲了應對網絡安全威脅，他們需要負責并改變運營方式。但總的來說，他們的努力在部署先進的威脅探測機制和适當的風險管理方案方面并沒有起到非常有效的作用。以下(xià)是企業面臨效率低下(xià)和處于脆弱狀态的一(yī)些關鍵原因：

　　(1)董事會/管理層不完全了解這些問題：首席信息官和首席信息安全官通常不是董事會成員(yuán)，不能參與核心對話(huà)。因此，雖然董事會和管理層知(zhī)道存在一(yī)些問題，但是他們并沒有充分(fēn)了解該領域具有專業知(zhī)識的人員(yuán)需要做什麽事情。因此，他們很難确定在網絡保護上花費(fèi)多少費(fèi)用或在哪裏分(fēn)配資(zī)金。

　　Bates解釋說：“各個部門都是獨立運作的，而沒有得到很好的溝通。網絡威脅是一(yī)個戰略性的企業風險問題，而不僅僅是IT安全問題。它可能會影響合規性、法律、運營、市場營銷，以及第三方供應商(shāng)等各方面因素。而這種攻擊可能來自這些部門的任何系統或人員(yuán)。”

　　然而，在大(dà)多數公司中(zhōng)，這些不同的功能通常是孤立的，互不通信，這使得設計和實現一(yī)個有效的、綜合性的企業範圍的網絡安全程序變得更加複雜(zá)。

　　(2)缺乏訓練有素和經驗豐富的員(yuán)工(gōng)：由于技術在所有企業中(zhōng)的重要性日益增加，網絡威脅越來越嚴重，IT人員(yuán)特别是IT安全人員(yuán)越來越難以招募或保留。

　　即使越來越多的人進入這個領域，并不是每個人都具有專業知(zhī)識和經驗來設計和實施适當的網絡安全計劃。因此，企業面臨激烈的人才競争，而且大(dà)多數首席信息官和首席信息安全官員(yuán)在IT安全和風險管理的專業知(zhī)識方面比較匮乏。

　　(3)跟蹤數據：随着技術的不斷增加和進步，來自全球各地的企業，第三方供應商(shāng)，國内外(wài)監管機構以及各行業領域的數據越來越多。

　　Bates說：“大(dà)多數首席信息官不能輕易地透露他們公司數據的位置、性質、相互關系。而首席信息官需要确定如何跟蹤所有這些信息，如何進行分(fēn)類、保留、管理。更重要的是，保護信息是一(yī)個非常複雜(zá)的問題。”

　　網絡風險的防範行動

　　最近，畢馬威通過徹底改變風險管理流程，程序和運營，來幫助一(yī)家客戶減輕未來的網絡攻擊。“這家全球性多媒體(tǐ)公司正在面臨組織内外(wài)的網絡安全威脅。作爲一(yī)家知(zhī)名度很高的公司，他們經常被全球各地的黑客攻擊。”Bates指出，“更重要的是，他們與成千上萬的第三方公司開(kāi)展業務，而供應商(shāng)的系統和人員(yuán)會使他們面臨潛在的網絡攻擊。”

　　“在對這家公司的運營、程序、安全功能以及運作方式進行了全面的審查之後，我(wǒ)們發現其風險管理框架與企業風險管理(ERM)框架并沒有緊密相關。此外(wài)，這家公司的IT、IT安全、人力資(zī)源、法律、合規，運營部門都是在孤島中(zhōng)運作。”Bates說。

　　畢馬威幫助這家公司開(kāi)發了一(yī)個綜合信息風險管理程序，提供政策，流程和控制以管理數據，并将嵌入式IT安全功能嵌入到先前各個孤立的部門。Bates繼續說：“有了這個新的設置，當安全事件發生(shēng)時，它将觸發進程，以減輕威脅。例如，通知(zhī)特定的工(gōng)作人員(yuán)，并提供步驟以應對或減輕威脅。”

　　防止或減輕網絡攻擊的措施

　　首席信息官可以采取幾個步驟來幫助企業阻止網絡犯罪分(fēn)子滲透他們的IT系統，或者最大(dà)程度地減少違規事件發生(shēng)時的損害。雖然這個過程可能很複雜(zá)，但如果想爲企業提供一(yī)個打擊網絡安全攻擊的機會，這是非常重要的。

　　(1)在董事會中(zhōng)獲得席位

　　作爲首席信息官，需要向企業的董事會和高級管理人員(yuán)說明網絡犯罪是一(yī)個戰略性的企業風險問題。闡述網絡犯罪将如何影響業務，包括收入損失，罰款以及對聲譽和客戶關系的損害。在尋求資(zī)金時，盡可能以非技術性的語言向董事會提供選項，并以威脅情況爲優先事項，使用儀表闆來說明其觀點。

　　(2)打破孤島

　　企業網絡安全計劃要有效，需要組織内各個部門主要利益相關方的認同和合作。在設計和實施這個計劃的時候，需要找到合适的人員(yuán)來确保各方的需求和漏洞。

　　企業可能無法阻止所有的網絡攻擊。但是，采取合作方式并打破孤島，可以幫助查明最大(dà)威脅可能來自何處，以及何時何地可能需要部署資(zī)源。

　　(3)考慮外(wài)包解決人員(yuán)配置問題

　　如前所述，聘用和留住最好的網絡安全專業人員(yuán)變得越來越困難，并且代價高昂。無論是在管理還是執行/運營層面，都是如此。

　　哈佛納什/畢馬威2017年首席信息官調查發現，大(dà)約一(yī)半的首席信息官正在計劃增加外(wài)包IT和IT安全工(gōng)作量。通過這種方式，第三方可以提供專業知(zhī)識和創新技術來解決這些IT問題，至少在他們自己的員(yuán)工(gōng)能夠建立之前。企業也可以釋放(fàng)自己的資(zī)源，獲得新的技能，并節省一(yī)些費(fèi)用。

　　(4)使用技術來管理和保護數據

　　企業需要強大(dà)的數據和分(fēn)析程序來加快數據管理平台的速度。對于擁有數百個或數千個第三方供應商(shāng)的大(dà)型企業來說，情況尤其如此。

　　第三方風險是許多公司關注的最重要的新興領域之一(yī)。大(dà)量的數據、系統和設施的接入，以及與第三方有關的人員(yuán)和服務常常缺乏透明度和一(yī)緻的分(fēn)類。通過不斷地識别、監控和管理第三方的情況，是企業主動進行安全保護的關鍵。

　　(5)将網絡安全視爲企業風險

　　這一(yī)過程應該部分(fēn)包括将網絡安全與其企業風險管理框架聯系起來。這将使企業能夠進行IT安全風險評估，幫助檢測安全漏洞，量化最高安全風險，同時向高級管理人員(yuán)、審計委員(yuán)會以及治理和遵從功能提供透明度。下(xià)一(yī)步是将最高優先級的風險與企業的政策和控制聯系起來，然後确定與這些特定風險相關的流程、人員(yuán)、技術。

　　此外(wài)，IT功能需要整合到運營過程中(zhōng)，以确保整個供應商(shāng)和内部生(shēng)态系統正确管理事件和問題。IT常常使用不同的語言和流程來管理日常運營問題，而不是企業風險職能所使用的分(fēn)類和框架。最後，這個過程需要定期審查和更新，以适應不斷變化的網絡風險環境。

　　首席信息官如何保持技術領先?

　　首席信息官和他們的公司需要更新和加強他們的網絡安全計劃。這将需要大(dà)量的資(zī)源投入，以應對越來越複雜(zá)的網絡犯罪。Bates總結說：“但是，企業隻要有适當的人員(yuán)和流程，就可以在網絡攻擊之前保持領先，并減少潛在的信息和收入損失。”

　　版權聲明：本文爲企業網D1Net編譯，轉載需注明出處爲：企業網D1Net，如果不注明出處，企業網D1Net将保留追究其法律責任的權利。