当前,每个企业都意识到了日益严重的网络攻击风险,然而,很少有公司真正对重要信息采取了足够的保护。这里的关键就是,企业的高层领导需要担当起网络安全防护的领导角色。最近麦肯锡的专家Tucker Bailey,James Kaplan,和Chris Rezek发表了一篇关于企业高管在网络安全中的角色的文章,编译如下。
为什么在重要信息资产的保护方面企业往往做得不够?企业的高管们明白尽管全球每年花在网络安全上的投资超过百亿美元,目前对网络攻击的防护依然不够。他们也知道网络攻击风险带来的对于数字经济的可信度及信心打击所带来的损失在2000年已经超过30亿美元。他们也了解绝大多数企业采取的以合规为目的的网络安全模式对于网络安全的保护并不够。他们也很清楚企业需要对风险进行深入分析,对于重要资产制定专门的防护措施,把在整个IT环境中部署安全措施。分析评估面临的安全威胁,提高事故反应机制等等。
网络安全的重要性我们每个人都清楚,那么企业高管会问,既然大家都理解,那么为什么很多企业都不能做到很好的网络安全防护呢?答案很简单,理解一个问题和有效地解决这个问题有很大的不同。对于企业来说,要想建立一个有效的,以业务为导向,以风险管理为中心的网络安全管理机制,需要面临一系列的组织结构和管理方面的问题。而只有来自企业高层的持续有力的支持,才能有最终达成有效的网络安全管理机制从而降低网络安全风险。
网络安全管理的一些组织结构的障碍
对于大型企业来说,阻碍一个正确的网络安全管理的实施有一系列的障碍。
首先,市场竞争的环境逼迫企业高管必须承受一定程度的网络攻击风险。某个投资银行的首席信息安全官就曾经说过:“如果我真的按照我希望的那样对与我们合作的对冲基金进行安全评估的话,我们可能就不会有任何合作机会了。”因此,为了保证企业的竞争力,企业必须在风险和客户期望之间取得平衡。
其次,网络安全影响的深度和广度也阻碍了安全管理战略的实施。网络安全不仅仅影响到运营,也影响到客户管理,营销,产品开发,采购,人事管理,公关等方方面面。比如说,产品开发常常会影响到敏感客户数据的获取。采购决策可能会导致供应商对于企业知识产权的泄露等等。
第三,网络安全的风险很难量化,这使得很难就网络安全的紧急程度在企业高管之间进行沟通。而促使他们进行决定。某个大型企业的CFO就曾经告诉我们:“看起来我们每年在网络安全方面的支出都在增加,但是我不知不明白这些支出是否足够,或者多少支出才算足够。”
最后,改变用户行为非常的困难。对于很多企业来说,最大的安全漏洞往往不是在企业本身,而是企业的客户。你如何能够防止客户点击错误的链接从而导致感染恶意软件?你如何能够阻止他们像钓鱼网站提供敏感信息?对企业第一线员工进行安全意识的培养已经很困难了,更何况是那些根本不受你控制的客户。
网络安全:高管必须亲自领导
网络安全是一个CEO层面的问题。网络攻击的风险影响到企业的各个部门,影响到企业的供应链以及企业的客户。因此,对于网络安全方面的决策必须来自CEO和其他企业高管团队。
最为我们与世界经济论坛共同就网络安全进行的研究的一部分,我们有机会对超过200家企业(其中60家为财富500强企业)的高管进行了访谈,与他们深入探讨了网络安全风险管理方面的具体实践。我们发现,对于成熟的网络安全风险管理来说,高管的时间与精力的投入是成功与否的关键因素。此外,我们的研究还发现,高管对于网络安全的参与程度有很大的不同。有的公司,首席信息安全官每几周就会与CEO开会。而有的公司,首席信息安全官与CEO基本没有接触,首席信息安全官首先报告给CTO,CTO报告给CIO,CIO再报告给CFO。
那么,企业高管需要怎么做呢?通过分析那些网络安全做的比较好的公司的做法,我们总结了一下几点:
◆积极参与到战略决策中去:
就像对待企业经营中的其他风险一样,CEO以及其他高管团队成员必须对企业整体的信息安全风险承受程度提出要求,比如对于知识产品的泄露,客户敏感信息的盗取,企业运营的中断等等。接下来,各部门的领导以及他们的管理团队需要与网络安全团队一起合作,列出重要的信息资产以及确定在安全风险与企业运营的平衡点。
◆充分考虑跨部门的网络安全影响
高管们需要管理中层经理们以确保在产品,客户,人力管理,供应链管理等环节考虑到网络安全的影响。此外还需要考虑对网络安全的重要性排序可能会带来的公关方面的影响。
◆推动使用行为的改变
由于高管接触的敏感数据更多。他们需要自身做出更多的基于网络安全考虑的行为改变,进而影响其他下级员工。这可以从简单的做起,比如不转发可疑附件,不把公司文件转发到私人邮箱等等。此外,高管应该采取合适的方式对一线员工进行宣传,使他们意识到他们应该如何保护重要的企业信息资产。
◆保证有效的治理结构和报告机制
无论公司的网络安全制度和安全控制如何完善,总会有些人会想办法绕过它。企业高管们显然需要确保规章制度和安全控制从业务角度的合理性。然后就是支持安全管理团队严格执行这些规章制度。此外,企业高管应该确保对企业在网络安全方面的具体推进程度建立一个完善的报告机制。
数字化越来越普及,技术环境越来越开放和互联,以及攻击者的水平越来越高。网络安全已经日益成为重要的社会和经济问题。如果不加以重视,它将会大大拖累企业的技术和商业的创新。这也就是为什么企业必须在网络安全方面迅速加强的原因。而要做到这一点,必须得到企业高管的直接关注与支持,才能跨越一系列结构上和管理上的障碍。我们已经了解到,在一些企业里,这样的推动已经在开始。但是,这样的推动还应该在一个更广的范围内,才能使得企业在保证网络安全的同时,依然保持原有的创新和发展水平。
