列举网首页
企业遭遇网络安全方面的诉讼如今屡见不鲜,因此,很多企业将糟糕的网络安全系统确定为根本问题。
企业在对抗网络威胁的持续战争中所面临的风险尤为重要,遭到破坏的企业继续面临直接和明显的影响:停机、数据丢失、收入损失、声誉受损和监管罚款。现在的风险和损失越来越大,越来越多的网络安全事件经常引发消费者、投资者和其他受影响方的集体诉讼,他们声称,企业和董事会本身应该更加努力地保护敏感信息。
很多家公司近年来都采取了一些措施来改善网络安全实践,迫使IT决策者加强网络安全的政策和措施,但是数据泄露事件不断发生,法律诉讼也是如此,许多企业仍未将网络安全提升到真正的优先级。
一: 加强企业董事会的网络安全技能
企业董事会必须在网络安全准备中发挥积极作用。首先必须确保他们能够胜任这项任务。
这不仅仅是让成员与IT和业务领导就员工进行补救性讨论。董事会成员需要自我教育以应对持续的网络安全挑战。
企业董事会可以从评估其成员的网络技能水平开始,并聘请一名或多名具有网络安全专业知识的董事会成员。这些网络专家可以领导企业的小组委员会,并更直接地与业务和IT领导者就网络安全战略进行沟通和交流。
二: 创建自由流动的信息交流
一旦企业董事会跟上进度,管理层就有责任开发一种机制,促进关于网络风险和战略的一致沟通。管理人员应留出时间就与网络安全风险相关的计划、程序和持续问题进行密切互动。
重要的是,该机制应包括来自各个部门的利益相关者,从业务部门到IT部门,从法律人员到人力资源和营销部门,每个人都应参与其中。虽然网络安全技术仍将由IT控制,但战略和实施贯穿所有部门,并一直延伸到企业董事会。
互动应该成为企业董事会持续职责的一部分,管理者应该扮演教育者和促进者的角色。
三: 指定执行发起人
虽然网络安全涉及各个部门,但重要的是要将应对计划的制定交给某人。执行发起人不必制定整个计划,但负责人应该是有权推动变革并在企业内保持一致的领导者。在理论上,首席信息官、首席信息安全官或首席安全官应该能够胜任这项任务。
对于企业来说,任命一位业务负责人来担任这一角色更有意义,因为他的工作与创收活动或运营有关,而不是与技术有关。该人员应与技术领导者接触,但在处理任务时应将重点放在业务战略上。技术固然重要,更重要的是佳响应计划的框架要围绕如何地为数据泄露做好准备,并在发生这样的事件时维持业务运营。
四: 在企业中分配角色
首席信息安全官和首席安全官将继续制定企业的安全议程,同时其他领导者也需要发挥积极作用。首席财务官必须确保在企业的所有财务流程中都有了一定程度的安全性。人力资源总监需要认真地审查入职新员工的履历,并充当员工熟悉安全实践的渠道。销售主管需要促进安全,因为员工的远程虚拟访问可能使他们成为的主要载体。
