CIO防止或減輕網(wǎng)絡攻擊的措施

越來越復雜的網(wǎng)絡犯罪開始出現(xiàn)在人們的視線中，網(wǎng)絡攻擊者比以往更具組織性和復雜性。對于企業(yè)來說應對網(wǎng)絡安全威脅，他們需要負責并改變運營方式。但還是會存在某些脆弱狀態(tài)，本文將討論CIO如何應對網(wǎng)絡攻擊的措施。

如果人們像大多數(shù)企業(yè)的首席信息官（CIO）一樣，在處理網(wǎng)絡威脅方面可能會有一種無法確定和沒有防備的感覺，那么實際上有這樣的感覺是對的。

調(diào)研機構(gòu)畢馬威會計師事務所的Steve Bates表示：“網(wǎng)絡攻擊者比以往更具組織性和復雜性。無論這攻擊是來自企業(yè)的競爭對手，流氓國家，還是激進主義團體，他們正在使用更好的工具，獲得更多的資金進行攻擊。這些網(wǎng)絡犯罪分子具備對各種組織造成重大損害的手段和能力?！?/span>

盡管網(wǎng)絡風險和信息技術(shù)安全成為各行各業(yè)日益關(guān)注的問題，但這一擔憂并沒有轉(zhuǎn)化為有效的行動。根據(jù)哈維納什/畢馬威的2017年首席信息官的調(diào)查報告，只有21%的IT領導人表示在確定和處理目前或近期的網(wǎng)絡攻擊方面做得“非常好”，與去年相比下降了4%，與過去四年相比下降了28%。

雖然針對大型企業(yè)的網(wǎng)絡襲擊被廣泛宣傳，比如Petya，WannaCry和Cloudbleed，其實還有更多的網(wǎng)絡違規(guī)事件發(fā)生，只是很少對外公布。根據(jù)調(diào)查顯示，近三分之一的受訪者表示在過去的兩年里發(fā)生過重大的網(wǎng)絡安全事件。而對于大型企業(yè)而言風險更大，一半以上的大企業(yè)表示最近遭遇了網(wǎng)絡襲擊。

這些網(wǎng)絡攻擊對各個組織造成了沉重的代價。每次違規(guī)事件平均損失近400萬美元。這還不包括增加保險費用、聲譽損害、客戶關(guān)系損害，以及知識產(chǎn)權(quán)（IP）潛在損失的成本。

企業(yè)成功的障礙

很多公司都清楚地認識到，為了應對網(wǎng)絡安全威脅，他們需要負責并改變運營方式。但總的來說，他們的努力在部署先進的威脅探測機制和適當?shù)娘L險管理方案方面并沒有起到非常有效的作用。以下是企業(yè)面臨效率低下和處于脆弱狀態(tài)的一些關(guān)鍵原因：

（1）董事會/管理層不完全了解這些問題：首席信息官和首席信息安全官通常不是董事會成員，不能參與核心對話。因此，雖然董事會和管理層知道存在一些問題，但是他們并沒有充分了解該領域具有專業(yè)知識的人員需要做什么事情。因此，他們很難確定在網(wǎng)絡保護上花費多少費用或在哪里分配資金。

Bates解釋說：“各個部門都是獨立運作的，而沒有得到很好的溝通。網(wǎng)絡威脅是一個戰(zhàn)略性的企業(yè)風險問題，而不僅僅是IT安全問題。它可能會影響合規(guī)性、法律、運營、市場營銷，以及第三方供應商等各方面因素。而這種攻擊可能來自這些部門的任何系統(tǒng)或人員?！?/p>

然而，在大多數(shù)公司中，這些不同的功能通常是孤立的，互不通信，這使得設計和實現(xiàn)一個有效的、綜合性的企業(yè)范圍的網(wǎng)絡安全程序變得更加復雜。

（2）缺乏訓練有素和經(jīng)驗豐富的員工：由于技術(shù)在所有企業(yè)中的重要性日益增加，網(wǎng)絡威脅越來越嚴重，IT人員特別是IT安全人員越來越難以招募或保留。

即使越來越多的人進入這個領域，并不是每個人都具有專業(yè)知識和經(jīng)驗來設計和實施適當?shù)木W(wǎng)絡安全計劃。因此，企業(yè)面臨激烈的人才競爭，而且大多數(shù)首席信息官和首席信息安全官員在IT安全和風險管理的專業(yè)知識方面比較匱乏。

（3）跟蹤數(shù)據(jù)：隨著技術(shù)的不斷增加和進步，來自全球各地的企業(yè)，第三方供應商，國內(nèi)外監(jiān)管機構(gòu)以及各行業(yè)領域的數(shù)據(jù)越來越多。

Bates說：“大多數(shù)首席信息官不能輕易地透露他們公司數(shù)據(jù)的位置、性質(zhì)、相互關(guān)系。而首席信息官需要確定如何跟蹤所有這些信息，如何進行分類、保留、管理。更重要的是，保護信息是一個非常復雜的問題。”

網(wǎng)絡風險的防范行動

最近，畢馬威通過徹底改變風險管理流程，程序和運營，來幫助一家客戶減輕未來的網(wǎng)絡攻擊?！斑@家全球性多媒體公司正在面臨組織內(nèi)外的網(wǎng)絡安全威脅。作為一家知名度很高的公司，他們經(jīng)常被全球各地的黑客攻擊?！盉ates指出，“更重要的是，他們與成千上萬的第三方公司開展業(yè)務，而供應商的系統(tǒng)和人員會使他們面臨潛在的網(wǎng)絡攻擊?！?/p>

“在對這家公司的運營、程序、安全功能以及運作方式進行了全面的審查之后，我們發(fā)現(xiàn)其風險管理框架與企業(yè)風險管理（ERM）框架并沒有緊密相關(guān)。此外，這家公司的IT、IT安全、人力資源、法律、合規(guī)，運營部門都是在孤島中運作。”Bates說。

畢馬威幫助這家公司開發(fā)了一個綜合信息風險管理程序，提供政策，流程和控制以管理數(shù)據(jù)，并將嵌入式IT安全功能嵌入到先前各個孤立的部門。Bates繼續(xù)說：“有了這個新的設置，當安全事件發(fā)生時，它將觸發(fā)進程，以減輕威脅。例如，通知特定的工作人員，并提供步驟以應對或減輕威脅?！?/p>

防止或減輕網(wǎng)絡攻擊的措施

首席信息官可以采取幾個步驟來幫助企業(yè)阻止網(wǎng)絡犯罪分子滲透他們的IT系統(tǒng)，或者最大程度地減少違規(guī)事件發(fā)生時的損害。雖然這個過程可能很復雜，但如果想為企業(yè)提供一個打擊網(wǎng)絡安全攻擊的機會，這是非常重要的。

（1）在董事會中獲得席位

作為首席信息官，需要向企業(yè)的董事會和高級管理人員說明網(wǎng)絡犯罪是一個戰(zhàn)略性的企業(yè)風險問題。闡述網(wǎng)絡犯罪將如何影響業(yè)務，包括收入損失，罰款以及對聲譽和客戶關(guān)系的損害。在尋求資金時，盡可能以非技術(shù)性的語言向董事會提供選項，并以威脅情況為優(yōu)先事項，使用儀表板來說明其觀點。

（2）打破孤島

企業(yè)網(wǎng)絡安全計劃要有效，需要組織內(nèi)各個部門主要利益相關(guān)方的認同和合作。在設計和實施這個計劃的時候，需要找到合適的人員來確保各方的需求和漏洞。

企業(yè)可能無法阻止所有的網(wǎng)絡攻擊。但是，采取合作方式并打破孤島，可以幫助查明最大威脅可能來自何處，以及何時何地可能需要部署資源。

（3）考慮外包解決人員配置問題

如前所述，聘用和留住最好的網(wǎng)絡安全專業(yè)人員變得越來越困難，并且代價高昂。無論是在管理還是執(zhí)行/運營層面，都是如此。

哈佛納什/畢馬威2017年首席信息官調(diào)查發(fā)現(xiàn)，大約一半的首席信息官正在計劃增加外包IT和IT安全工作量。通過這種方式，第三方可以提供專業(yè)知識和創(chuàng)新技術(shù)來解決這些IT問題，至少在他們自己的員工能夠建立之前。企業(yè)也可以釋放自己的資源，獲得新的技能，并節(jié)省一些費用。

（4）使用技術(shù)來管理和保護數(shù)據(jù)

企業(yè)需要強大的數(shù)據(jù)和分析程序來加快數(shù)據(jù)管理平臺的速度。對于擁有數(shù)百個或數(shù)千個第三方供應商的大型企業(yè)來說，情況尤其如此。

第三方風險是許多公司關(guān)注的最重要的新興領域之一。大量的數(shù)據(jù)、系統(tǒng)和設施的接入，以及與第三方有關(guān)的人員和服務常常缺乏透明度和一致的分類。通過不斷地識別、監(jiān)控和管理第三方的情況，是企業(yè)主動進行安全保護的關(guān)鍵。

（5）將網(wǎng)絡安全視為企業(yè)風險

這一過程應該部分包括將網(wǎng)絡安全與其企業(yè)風險管理框架聯(lián)系起來。這將使企業(yè)能夠進行IT安全風險評估，幫助檢測安全漏洞，量化最高安全風險，同時向高級管理人員、審計委員會以及治理和遵從功能提供透明度。下一步是將最高優(yōu)先級的風險與企業(yè)的政策和控制聯(lián)系起來，然后確定與這些特定風險相關(guān)的流程、人員、技術(shù)。

此外，IT功能需要整合到運營過程中，以確保整個供應商和內(nèi)部生態(tài)系統(tǒng)正確管理事件和問題。IT常常使用不同的語言和流程來管理日常運營問題，而不是企業(yè)風險職能所使用的分類和框架。最后，這個過程需要定期審查和更新，以適應不斷變化的網(wǎng)絡風險環(huán)境。

首席信息官如何保持技術(shù)領先？

首席信息官和他們的公司需要更新和加強他們的網(wǎng)絡安全計劃。這將需要大量的資源投入，以應對越來越復雜的網(wǎng)絡犯罪。Bates總結(jié)說：“但是，企業(yè)只要有適當?shù)娜藛T和流程，就可以在網(wǎng)絡攻擊之前保持領先，并減少潛在的信息和收入損失。”