"Five Critical Cybersecurity Considerations for 2024"是由Thomas DeMayo與Nick DeLena合寫、2024年1月31日刊載於Directors and Boards網站。以下分享一些內容。
網路安全風險最近幾年激增。根據IBM,2022年美國資料外洩在的平均成本大增到944萬美元。在Nasdaq經歷巨大資料外洩的公司,第一年績效會衰退8.6%,而60%的小企業在遭遇網路攻擊後六個月內會倒閉。
由於董事會要管理階層負責制定及達成長期目標、減少對公司的風險和動盪,故關於網路安全的問題要納入他們的職權範圍。
有鑑於日益嚴重的威脅,最重要的是,管理階層要報告:他們如何改變網路安全策略,以便應付日益升高的複雜性—此乃需要提供現代勞工的服務。
邁入2024年,作者提供五個董事會對網路安全需考量的點。
1.建立一個單獨的網路安全委員會
董事會監督網路安全常見的作法是,交給審計委員會(基本上是由會計背景的成員組成)。這會造成技能與之不搭、只關注於網路安全的財務報導部分。網路安全委員會才具備適當的專業,投入足夠時間解決關鍵問題。這個委員會可能也可考慮一個對應的網路安全指導委員會—成員為企業領導人、全組織各部門主管。指導委員會會協助在文化上採行網路安全最佳實務,並為網路安全主管提供關鍵的營運脈絡。
2.評估組織的網路韌性
除了支持早期偵測、分層防禦和支持保護的最佳能力以外,公司需要針對業務持續性、事件因應及災難復原有健全與經過測試計畫。
許多網路安全主管會採用「假設會入侵」的思維,應用一系列「零信任」的措施。零信任的核心概念就是從傳統「信任但要驗證」的網路安全方法,轉變為「完全不信任」。這個方法要求使用者和系統的持續驗證,若驗證失敗,理想上能隔離與遏制。
3.監理增加
2023年,美國各州及領地在法律上都要求私人公司,當涉及個人驗證資訊的安全漏洞時,要通知個人。雖然各州規定不同,但全部都有要求揭露時間表。許多州要求公司採用明文政策和記錄防衛措施,有幾個州要求定期做防衛測試。
4.AI風險
過去一年看到生成式AI服務難以置信的突破。雖然他們產出成果令人驚訝,但這些服務也有新的風險。威脅者已使用生成式AI來撰寫釣魚郵件、發展勒索軟體,而使用AI的員工也會有製作權的風險。
董事會應確保其組織在使用AI將風險降到最低上、有健全的政策,同時也尋求可提高生產力的案例。
5.地緣政治
烏克蘭戰爭也有跨越俄烏國境的大規模網路攻擊,而加薩走廊最近的衝突,有也與伊朗相關的團體鎖定以色列公司攻擊。適當的網路安全管理,需要仔細注意地緣政治,並瞭解組織可能暴露在什麼樣的地緣政治風險。
以上這些問題,在董事會再怎麼強調也不為過。將網路安全上升到董事會議程裡,可讓董事會有機會加深對網路安全、組織整體風險的瞭解,同時也更全面地達成其監督義務。這會符合公司利益,並提供董事會和網路安全及營運主管合作的機會,以加深組織的韌性。
沒有留言:
張貼留言