完美世界国际版下载,神武八荒一颗小说,欢乐颂小说结局是什么

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

首席信息安全官如何與企業(yè)董事會成員和高管討論網(wǎng)絡(luò)安全

?網(wǎng)絡(luò)安全如今已經(jīng)成為企業(yè)董事會成員越來越關(guān)注的一個主要話題。在研究機(jī)構(gòu)去年進(jìn)行的一項全球調(diào)查中，將網(wǎng)絡(luò)攻擊和數(shù)據(jù)丟失列為與新冠疫情相關(guān)的變化(例如在家遠(yuǎn)程工作、混合工作和云遷移)導(dǎo)致企業(yè)董事會成員和高管關(guān)注的兩大風(fēng)險。該調(diào)查涵蓋了美國、英國、歐洲和亞太地區(qū)的各個行業(yè)領(lǐng)域。

成都創(chuàng)新互聯(lián)公司從2013年開始，先為和布克賽爾蒙古等服務(wù)建站，和布克賽爾蒙古等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為和布克賽爾蒙古企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

隨著許多數(shù)據(jù)泄露和勒索軟件攻擊事件已經(jīng)成為頭條新聞，并帶來相關(guān)的災(zāi)難性后果，例如業(yè)務(wù)關(guān)閉、財務(wù)/收入損失、聲譽(yù)受損等，許多企業(yè)董事會成員和高管已經(jīng)意識到，網(wǎng)絡(luò)安全不再單是一個IT方面的問題，而且也是業(yè)務(wù)方面的問題。

此外，根據(jù)RSA的業(yè)務(wù)創(chuàng)新安全委員會日前發(fā)布的一份白皮書，網(wǎng)絡(luò)安全已經(jīng)發(fā)展到風(fēng)險和相關(guān)成本如今屬于企業(yè)董事會的受托責(zé)任范圍。

甚至有的用戶提起訴訟，要求企業(yè)董事成員和高管承擔(dān)個人責(zé)任，聲稱如果發(fā)生網(wǎng)絡(luò)安全事件應(yīng)該承擔(dān)責(zé)任。因此，該群體可能成為最大限度降低企業(yè)網(wǎng)絡(luò)風(fēng)險的重要力量。

盡管如此，研究發(fā)現(xiàn)許多首席信息安全官出于各種原因難以向董事成員和高管解釋保護(hù)企業(yè)系統(tǒng)、數(shù)據(jù)和資產(chǎn)所需的資源、承諾和預(yù)算。這方面的一個例子涉及將網(wǎng)絡(luò)安全風(fēng)險轉(zhuǎn)化為業(yè)務(wù)風(fēng)險的需要，這是企業(yè)董事會成員所關(guān)注的問題。這些風(fēng)險及其對業(yè)務(wù)的可怕影響并不總是在所有行業(yè)中都顯而易見，因此應(yīng)該清楚而簡潔地傳達(dá)給企業(yè)董事會成員和高管。

企業(yè)董事會成員和高管需要知道什么？

在通常情況下，企業(yè)董事會成員和高管在網(wǎng)絡(luò)安全方面擁有不同程度的知識。有些人精通技術(shù)并密切關(guān)注網(wǎng)絡(luò)安全趨勢，而另一些人則對企業(yè)網(wǎng)絡(luò)安全中包含的大量主題有模糊的理解。

無論董事會成員可能知道些什么，他們通常都希望聽取首席信息安全官的報告，說明企業(yè)目前識別其最關(guān)鍵資產(chǎn)的能力、保護(hù)這些資產(chǎn)的防御計劃，以及企業(yè)在多大程度上執(zhí)行該計劃以管理風(fēng)險和漏洞。

首席信息安全官的報告應(yīng)讓企業(yè)領(lǐng)導(dǎo)層了解安全團(tuán)隊看到的威脅和漏洞，以及為減輕這些威脅而采取的主動行動。必須清楚地了解這些威脅和漏洞如何影響業(yè)務(wù)功能。該報告還應(yīng)該討論應(yīng)對這些威脅的長期戰(zhàn)略、目標(biāo)、投資和相關(guān)的投資回報率，以及實(shí)現(xiàn)目標(biāo)的明確進(jìn)展的更新。

以下是首席信息安全官需要為企業(yè)董事會成員和高管回答的一些基本問題：

面臨的風(fēng)險是什么?
網(wǎng)絡(luò)安全團(tuán)隊對此做了什么?
團(tuán)隊是否具備做出正確決策，并迅速采取行動所需的條件?
企業(yè)資產(chǎn)、數(shù)據(jù)和系統(tǒng)是否安全?
怎么知道企業(yè)是否被網(wǎng)絡(luò)攻擊了?
企業(yè)的安全計劃與業(yè)內(nèi)其他公司相比如何?
是否有足夠的資源用于安全計劃?
計劃有多有效，投資是否正確?

成功地敘述故事

無論董事會成員的知識水平如何，通常建議首席信息安全官通過簡短地敘述故事讓每個人快速了解企業(yè)的網(wǎng)絡(luò)安全狀態(tài)、態(tài)勢和防御計劃的背景。這其中包括概述當(dāng)前的威脅形勢，這意味著可能面臨的風(fēng)險和網(wǎng)絡(luò)攻擊者。其故事還應(yīng)該提到當(dāng)前應(yīng)對網(wǎng)絡(luò)攻擊者的對策以及如何使用企業(yè)的安全系統(tǒng)進(jìn)行抵御。

如果首席信息安全官有具體的例子說明網(wǎng)絡(luò)攻擊者如何攻擊他們的公司以及采取了哪些措施，那么就更好了。盡管如此，如果這些網(wǎng)絡(luò)攻擊發(fā)生在幾年前，他們應(yīng)該列舉值得關(guān)注的網(wǎng)絡(luò)攻擊事件，例如Apache Log4j、SolarWinds、JBS、Capital One、Facebook、Equifax、OPM、雅虎、摩根大通等老牌廠商遭遇的網(wǎng)絡(luò)攻擊。最好使用與所在行業(yè)相關(guān)的示例，而不是引用與企業(yè)沒有相似之處的隨機(jī)事件。這些網(wǎng)絡(luò)攻擊和實(shí)際破壞有助于為影響企業(yè)業(yè)務(wù)運(yùn)營的內(nèi)容創(chuàng)建場景。

在此不建議審查特定的新工具或技術(shù)，因?yàn)樗粫榉前踩珡臉I(yè)者提供價值。但是，如果由于首席執(zhí)行官或董事會在上次會議上批準(zhǔn)的工具或設(shè)備而阻止或減輕了網(wǎng)絡(luò)安全事件，那么需要提到這一舉措。這應(yīng)該嵌入到故事中，但采用安全工具或技術(shù)不應(yīng)該成為故事本身。這使首席信息官能夠讓首席執(zhí)行官和董事會成員感到滿意，同時實(shí)現(xiàn)本次會議的預(yù)期成果。

如果必須提及技術(shù)項目，那么必須轉(zhuǎn)化為董事會成員/首席執(zhí)行官可以關(guān)聯(lián)和能夠理解的風(fēng)險，這需要場景和含義。它將被簡單地描述為任何其他業(yè)務(wù)風(fēng)險，例如，“這種風(fēng)險可能會發(fā)生，這就是它發(fā)生時帶來的不利影響?！?/p>

通過將技術(shù)項目呈現(xiàn)為業(yè)務(wù)問題，更容易獲得必要的資金和人員等資源，以快速消除風(fēng)險。

通過選擇正確的衡量標(biāo)準(zhǔn)來建立信任

建議使用一些定性和定量的策略和指標(biāo)來建立信任，而不是可能在15分鐘展示時呈現(xiàn)難以解釋的技術(shù)或運(yùn)營指標(biāo)。以下是可供選擇的選項的簡短列表(通常建議共享3～4個相關(guān)指標(biāo))。

進(jìn)行風(fēng)險評估和發(fā)現(xiàn)風(fēng)險。
計劃的桌面練習(xí)和模擬，需要董事會成員和高管的參與。
目前正在處理的首要安全重點(diǎn)，今年上半年和下半年的計劃是什么。
員工培訓(xùn)計劃和測試。
紅隊-藍(lán)隊模擬和報告的結(jié)果。
降低風(fēng)險和提升企業(yè)安全狀況的其他舉措。
與應(yīng)用程序開發(fā)的安全集成(如果適用的話)。
企業(yè)根據(jù)風(fēng)險承受能力和風(fēng)險偏好接受的風(fēng)險。
發(fā)現(xiàn)的新漏洞與已修復(fù)的漏洞。
補(bǔ)丁管理——日期、計劃、頻率。
事件和漏洞的數(shù)量。
未補(bǔ)救風(fēng)險的數(shù)量以及未補(bǔ)救的原因(顯示正在處理的優(yōu)先事項)。

對民族國家規(guī)模的網(wǎng)絡(luò)攻擊進(jìn)行討論

近年來，美國國家安全局(NSA)開發(fā)的一些網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)、技術(shù)和程序有了長足的發(fā)展，而網(wǎng)絡(luò)攻擊者在暗網(wǎng)上購買此類技術(shù)變得非常容易和快速。在過去，只有民族國家才能獲得這些技術(shù)和工具。然而如今，各種網(wǎng)絡(luò)犯罪團(tuán)伙都可以使用這樣的攻擊工具，而且他們每天都在大量使用這些工具，其中大多數(shù)是為了獲取經(jīng)濟(jì)利益，這給企業(yè)帶來了新的風(fēng)險。

這些網(wǎng)絡(luò)攻擊團(tuán)體之間的合作有所增加，因此知識和工具共享使許多企業(yè)更有可能遭受民族國家規(guī)模的網(wǎng)絡(luò)攻擊。

人們已經(jīng)看到，這些網(wǎng)絡(luò)犯罪團(tuán)體往往受到其所在國家的保護(hù)，這意味著為這些網(wǎng)絡(luò)攻擊提供了幫助和條件。因此，企業(yè)通常需要額外的專業(yè)知識來處理這種威脅級別。首席信息安全官應(yīng)提出他們的想法，以應(yīng)對超出監(jiān)管要求的這些風(fēng)險，并使企業(yè)的安全計劃成熟到超出當(dāng)前水平。

解釋投資回報率和網(wǎng)絡(luò)安全投資

由于網(wǎng)絡(luò)安全帶來了新的和持續(xù)的挑戰(zhàn)，投入再多資金也不可能消除風(fēng)險，向董事會成員解釋這一點(diǎn)很重要。因此，在討論網(wǎng)絡(luò)安全投資時，應(yīng)該使用一些通用的基準(zhǔn)，但投資決策將根據(jù)整體安全計劃的成熟度、行業(yè)和其他因素而有所不同。

投資回報率的主題對于網(wǎng)絡(luò)安全來說可能有些復(fù)雜，因?yàn)槠放坡曌u(yù)價值、數(shù)據(jù)/個人信息安全的妥協(xié)以及潛在的法律成本等重要的因素更難量化。然而，毫無疑問，可以估算“假設(shè)”成本：

事件緩解可以防止損失。
每月預(yù)防的高級持續(xù)性威脅數(shù)量。
符合安全標(biāo)準(zhǔn)的系統(tǒng)百分比。

此外，大多數(shù)董事會成員和高管希望了解投資的效果，尤其是哪些投資對首席信息安全官最有意義、他們的意見等。建議首席信息安全官利用這個機(jī)會展示他們的商業(yè)敏銳性，并為這些決策增加價值。

結(jié)語

首席信息安全官是企業(yè)加強(qiáng)網(wǎng)絡(luò)安全的主要講述者和倡導(dǎo)者。他們負(fù)責(zé)制定企業(yè)的網(wǎng)絡(luò)安全計劃的愿景、價值觀和計劃。作為數(shù)據(jù)和網(wǎng)絡(luò)安全專家，他們對董事會成員和高管有重要的話要說。但如果他們沒有進(jìn)行適當(dāng)?shù)陌b，他們的數(shù)據(jù)和專業(yè)知識可能不會提供太大幫助。要使信息和預(yù)期結(jié)果得到傳播，需要將網(wǎng)絡(luò)安全問題和風(fēng)險轉(zhuǎn)化為業(yè)務(wù)問題和風(fēng)險。

以上建議基于作為大型企業(yè)首席信息安全官顧問的經(jīng)驗(yàn)，旨在為其他首席信息安全官提供實(shí)用的建議，幫助他們向其董事會成員和高管提交分析報告，以實(shí)現(xiàn)預(yù)期結(jié)果。

當(dāng)前題目：首席信息安全官如何與企業(yè)董事會成員和高管討論網(wǎng)絡(luò)安全
本文路徑：http://m.fisionsoft.com.cn/article/coijsid.html