中国有句古话叫:“当局者迷,旁观者清。”身处事内的人往往无法透过乱象去纵观全局,因此难免会对局面判断失误,甚至盲目地乐观,这种状况在企业信息安全上也颇为明显。
企业安全:理想与现实有差距
据《2015年度安全报告》的调查显示,90%的接受调查者声称他们对未来的安全工作持乐观态度,与此相反的是54%的人报告他们的企业被入侵,调查结果表明,企业安全管理人员的观念与网络空间安全的现实差距,正在不断的扩大。
现实中的企业网络安全状况并没有这些受调查者乐观自信的认为的那般好,就美国零售巨头塔吉特来说,在一年中就有三个“O”在媒体前say sorry,先是CEO和CFO(首席财务官)为企业泄露了1.1亿用户的信用卡数据道歉,一个月后又轮到了CIO道歉。美国家得宝建材遭黑客攻击、索尼影业惊动美国国会的入侵事件更加让人印象深刻。
企业管理者普遍不喜欢讨论风险,都会认为企业的信息安全治理是IT部门的事情,他们关心的是数字报表、企业战略和业务运营,这是他们管理并带企业走向成功的关键。但从《2015年度安全报告》的调查结果来看,管理者对企业安全的理想态度与现实的差距需要做出调整,管理者应该将网络空间安全纳入企业风险管理中,以减少理想与现实的差距带来的安全风险。
应将企业网络空间安全纳入风险管理
网络空间的安全无法预估,企业管理人员对风险的预测又难免过于乐观,新的一年来临,企业是否应该想办法缩小差距,保护企业的网络安全呢?
企业必须要投入资源和精力对数据漏洞进行评估,防止黑客和其他入侵者的破坏。将企业网络空间安全纳入企业风险管理,是高管重视信息安全的重要举措,高级管理层必须在这一领域采取积极主动态度,并考虑以下问题:
- 公司是否有降低安全泄露影响的事件响应计划?
- 流程中是否给关键利益相关者分配了特定的角色?
- 董事会是否有报告机制来监控这些事件,并确保公司适当回应此类事件?
网络安全已经不应该是仅仅属于信息技术专家的问题了,为管理这些风险,董事会成员和高级管理人员必须对技术问题更加熟悉。除了看企业信息安全专家的年度报表、年度计划外,高层管理者自身熟悉技术问题,对网络安全的风险管理会更加有效。
把企业的网络空间安全纳入企业风险管理,除了为网络安全制定问题治理结构框架外,企业必须投入时间和精力对事件响应能力进行测试。只有通过实际的测试,公司才会知道哪些策略是有效的,而哪些策略则是无效的,我们可以称之为网络消防演习,这是把不可预知的网络风险变成熟悉可控的重要程序,为了避免灾难性事件,这样的演习还是值得花费时间和精力去做的。
将企业的网络空间安全纳入企业的风险管理中,是缩小网络安全风险理想与现实的差距的重要步骤,管理者对企业网络安全管理的精细化程度,决定了企业网络遭受黑客攻击可能性的大小以及入侵后风险可控的系数。为了避免塔吉特高管在媒体前频频道歉的尴尬,高管们还是把企业安全风险管理重视起来吧!