如今,董事会在网络安全治理的参与度逐渐提升,并对未来的网络安全应急响应能力提出了更高的要求。
随着新冠疫情的到来,许多资源有限的网络安全团队遭受了围攻。在应对耗时的例行安全修复任务之外,疫情还带来了远程办公的挑战。与此同时,网络入侵的数量与复杂程度也出现大规模增长,其中包括了一些覆盖各大新闻头条的企业级核心软件供应商的被破解事件。这些事件,将数以千计的企业与机构暴露在风险当中,即便是最领先的科技公司乃至国家的政府机构也难以幸免。
网络入侵攻击向来是难以预测的,而当前的社会环境使得挑战愈发严峻。首席执行官(CEO)和董事会对网络安全的重视程度显著提升,他们已经将网络安全战略放在了首要位置。
所有的公司都可以向那些经历过重大数据泄露事件的公司学习;大部分的大型企业都经历过一些网络安全事件。那些公开披露数据泄露事件的公司已经承担了巨额的金钱损失、公开听证和声誉损害的结果。为了解现在可以采取哪些行动来更好地应对网络安全事件,安永对411名首席执行官、首席信息官(CIO)和其他网络安全管理人员进行了调查,了解他们的公司如何实施网络安全策略。
一、网络安全事件给予我们的经验教训:时不我待
调查结果显示:在当下采取简单的行动会为将来带来可观的回报。以下是一些经历过重大安全事件的企业带给我们的启示:
1、一个行之有效的应急响应团队
一个行之有效的应急响应组织架构离不开权责分明的应急响应小组以及企业管理层的支持。这类工作的缺失,将导致事件发生后的大部分时间会浪费在企业内部的低效沟通中,进而错过事件的最佳止损时机。
2、现在就让董事会加入网络安全管理并接受培训
董事会将愈加重视数据泄露的防控措施与网络安全应对的决策。数据泄露事件的发生使得企业的管理人员意识到必须有更多的利益相关者参与网络安全决策,其中就包括董事会。企业应当自主设立一个董事会层级的管理层汇报看板,每年至少向董事会汇报一次网络安全管理的现状。
3、加强首席信息安全官(CISO)作为业务战略合作伙伴的地位
疫情当前,每个组织都需要适应全新的工作形式,然而适应快速的变化需要付出一定的代价。在新冠疫情期间,75%的公司受到网络入侵的数量显著增加。换言之,许多公司必须在遭受网络入侵前就提升应对各种网络安全风险的响应能力。在网络入侵事件愈发频繁的大环境下,CISO能进一步在业务方面提出自己的价值主张。随着新冠疫情的爆发,55%的网络安全管理人员认为这是一个加入业务决策团队的机会。
4、评估安全服务供应商的使用情况
于如今的CISO们来说,如何紧跟安全技术的更新迭代与其层出不穷的风险评估是最有挑战性的痛点。通常来说,公司更倾向于在发生网络安全事件后才寻找网络安全服务供应商提供相关的服务。然而公司若选择防患于未然,在事件发生前就开始花时间评估并使用专业的外包人员或供应商,将有效促使公司建立最佳的安全架构与风险应对态势。
5、今天的一小步成就未来的一大步
根据这项调查,经历过网络安全事件的公司更愿意在网络安全领域投入更多的成本以评估安全状态。其中漏洞评估与访问控制最受关注。为了避免遭受当今复杂的网络安全入侵,公司必须加强自身网络安全治理能力或找寻优秀的外部供应商提供帮助。许多企业管理者不仅要求加强应对外部入侵的防范能力,也对灾后快速修复与减轻损失的安全治理能力提出了要求。
二、网络安全战略调整与预算规划
大部分受访者表示,防止外部网络安全攻击的重要程度在去年有所上升。公司应对安全问题的策略以及是否公布遭遇的数据泄露也因此受到影响。
首先,在过去的三年内,惯用的决策状态已经改变。像CIO与CISO这样传统网络安全战略决策者正在与CEO、CFO、法律合规部门及业务部门管理人员这些非IT领域的管理者共同进行决策。除此之外,董事会要求更多地了解企业的安全状态。安永的调查结果中显示,约有一半的公司每年向董事会就网络安全管理状况进行三到四次汇报。
各公司对网络安全部门的资金分配也有所增长。研究发现,企业对于网络安全管理的预算在过去的三年中呈增长趋势,且在未来几年将持续上涨。从长远来看,终端网络安全策略将会是预算增加的主要领域,网络和数据中心安全紧随其后。
在调查中,90%遭受过数据泄露的公司预计将在未来三年内增加网络安全预算。有趣的是,同行业中,公布过数据泄露情况的公司与未公布过的公司投放增长预算的领域有所不同。尚未公布过数据泄露情况的公司认为网络入侵防御、移动设备管理(MDM)和防御垃圾电子邮件将成为未来三年预算增加的重点领域;而那些公布过数据泄露的公司预计将在未来三年更多将预算投入多因素认证(MFA)、单点登录(SSO)、访问权限控制以及网络防火墙领域。
近日,一项新的法律判例为公司收购的考虑因素与预算设置带来了更高的要求。在2021年3月,一名法官裁定消费者可以就企业因未做尽职调查而发生违规行为提起集体诉讼。引以为鉴,为避免遭遇集体诉讼,企业未来在进行收购前,无论是否有网络安全尽职调查的经验,收购发起公司都必须对被收购公司的网络安全状态进行尽职调查。将网络尽职调查责任外包给专业的供应商以更好地发现网络安全漏洞与抵御潜在的索赔风险,是更为明确的选择。
值得一提的是,网络安全问题没有一劳永逸的解决方案。对网络安全的投资和预算水平应与公司对风险的承受力相匹配。无论如何,公司不应该等到安全事件发生后才开始寻求问题解决方案。
三、董事会应当了解什么?
如今,管理层与董事会对公司网络安全治理与应急响应能力承担了更多的管理责任。董事会倾向专注企业层级网络安全治理,而拥有更多技术背景的CISO则更关注风险管理。为了帮助双方更为有效地进行探讨,安永提供以下关于有效治理网络安全的核心问题,供企业在遭遇网络攻击时参考,以便双方可以快速地达成一致。
1、公司是否受到本次网络入侵攻击的影响?
是,公司应当如何减轻入侵影响,应对此次攻击所利用的漏洞?
否,公司本次采取了哪些主动防御措施以防止类似的网络入侵?
2、本次网络入侵的潜在影响是什么?
哪些资产,包含数据资产,被入侵了?
在财务、监管、企业信誉与运营能力方面带来的总风险是多少?
是否有独立的第三方对本次事件的影响范围与影响程度进行评估?
3、应急响应计划的效果如何?
在调查、止损、根除与恢复阶段都发现了哪些安全漏洞?
公司是否购买了相应的网络安全保险?受影响资产是否包括在其中?保险供应商是否已参与事件理赔?
从此次网络入侵安全事件中汲取了哪些经验和教训?
4、第三方和供应商的生态环境是否安全?
公司的第三方和第四方是否有受到入侵?
第三方是否能够访问内部网络?
5、公司是否聚焦对未来入侵风险的防御和响应?
公司当前的网络安全治理工作效果如何?是否应当重新评估公司的风险防治措施重点?
公司未来如何在遭受攻击时更快进行修复?
网络安全威胁不断在变化,未来网络安全预算的投放重点是哪里?
公司是否在收购和整合计划中囊括了网络安全情况的调查?
总结
与许多企业职能部门不同,网络安全部门没有淡季或需求减少的时期。对于网络安全专业人员来说,每天都在与时间和资源赛跑,并且需要在有竞争性的优先事项中取得平衡。企业网络安全管理人员面临着选择——现在就主动采取简单的措施以减少未来数据泄露的影响,或者继续以被动的状态应对日常需求,即便不可避免地在未来遭受网络威胁带来的影响。主动防御,积极准备,方能在未知挑战中临危不乱。
