(1)在今日數位經濟下,為何網路安全應該是董事會的優先事項
在快速演變的數位經濟裡,網路安全不再是IT部門的技術問題,而是董事會的關鍵問題。有68%的企業領導人認識到,他們的網路安全風險在增加,而且比過去更高。網路威脅可能使營運中斷、損害名譽以及引發重大財務損失。
作者在有第一手處理挑戰下,知道健全的網路安全措施不是必需,在策略上是至高無上的。
今日,採取行動不再是選項。董事會成員需要負起這個責任,因為他們的決定會決定企業明日的韌性和可信度。董事會必須積極處理這些風險,以確保組織的未來。
網路攻擊的頻率與嚴重性正在擴大。比如2023年IBM的Cost of a Data Breach Report顯示,資料外洩平均成本創新紀錄—488萬美元。他們也發現,這會導致立即的財務損失,並對品牌和消費者信任產生長期傷害。
有鑒於此高風險,董事會成員需要瞭解網路安全是管理風險,並確保業務延續性。董事會在網路安全上的角色應該要是:
*在形塑組織網路安全策略上,積極投入
*瞭解企業所面對到的關鍵威脅
*對網路安全措施配置足夠資源
*培育整個組織的安全文化
網路安全應該要整合到組織營運的每個面向,包括供應鏈管理和顧客關係。將安全納入企業策略,會讓董事會確保韌性以面對目前和未來的挑戰。
根據作者的經驗,想要有效處理網路安全風險的董事會可採取以下幾個步驟:
1.落實全面性的網路架構
像NIST Cybersecurity Framework之類的指導方針,可辨識、保護、偵測、回應網路威脅,並從中復原。作者建議定期進行安全評估,包括漏洞和滲透測試,至少要一季一次。
2.優先重視員工訓練及意識計畫
人為錯誤是網路安全漏洞的主因。定期簡報最新的威脅和最佳實務,對所有員工都很重要—從長字輩主管到剛報到的員工。作為董事,要優先重視全組織的教育。
3.確保有健全的事故因應計畫
因應計畫應該要包含溝通協議、明確的角色與責任,以及復原程序。根據作者經驗,透過模擬來演練這些計畫,會大幅強化因應時間與有效性。
(2)Kevin Mandia測試資安長的五個問題
這是2024年9月20日在Cybersecurity Dive網站上所刊載的Kevin Mandia’s 5 question confidence test for CISOs。
執行長與董事會常會問Kevin Mandia(Mandiant的創辦人與前執行長),如何判斷其資安長的長處。Mandia會建議評估其資安長的個性。
Mandia在9月18日於Mandiant Worldwide Information Security Exchange大會的開場主題演講上說,「你有一個具備安全意識的資安長嗎?如果沒有,公司可能就不會有偉大的安全計畫。」
因為組織是在一個不對稱的局面下遭遇網路威脅,故高階經理人和董事會很難有機會,可深入瞭解其安全主管之管理技能和技術敏銳度。
在過去幾十年,Mandia提出了五個問題,用來協助高階經理人與董事會成員測試—資安長掌握其工作之能力。
1.你是如何被聘任的?我們有什麼弱點?
2.我們最糟的狀況會是什麼樣?
3.若身處最糟狀況,你會怎麼做?
4.我們的韌性如何?我們要花多久復原系統?
5.你需要什麼?
Mandia說,「我告訴執行長,你甚至不必在意這些問題的答案是什麼,只要資安長有答案就好,因為至少代表,他們有安全意識。」
資料來源:https://www.cybersecuritydive.com/news/kevin-mandia-ciso-confidence-test/727599/
(3)長字輩主管對網路安全之涉入,只是嘴上說說而已
這篇是由Raja Mukerji所寫、2024年8月23日在Dark Reading刊出的"C-Suite Involvement in Cybersecurity Is Little More Than Lip Service"。
ExtraHop的新報告發現,美國有四成的組織希望:其高階管理團隊能包住評估其網路風險暴露,但僅五分之一感覺他們的長字輩主管有高度參與和承諾。這引發一個問題:當整個產業都在主張網路安全時,董事會對此之討論,難道是對利害關係人的口頭交代嗎?
此資訊顯示了令人憂慮的趨勢,特別適當監理機關正要長字輩主管為資料外洩負責。作者看到SEC要SolarWinds的資安長為長達兩年的詐欺和內控失靈負起責任。最近關於Change Healthcare的勒索軟體攻擊的聽證會,也顯現了執行長的責任,看到參議院針對此影響深遠網路事故向公司領導人詢問的先例。
以最近大規模惡名昭彰的攻擊及其後果為例,驗證了影響大公司、長字輩主管與董事會,還有安全團隊的真正問題:過度自信。該報告發現,絕大多數IT決策者(88%)感覺他們的組織能夠管理網路風險。但研究發現未必如此—很多都準備不足,而且缺乏長字輩的指引與注意,這會引起問題發生。
在同一份報告裡,有15%受訪者說:管理風險最大的阻礙,就是企業和網路安全之間缺乏一致性,有近四分之一的受訪者指出,他們需要增加26%至50%的預算,才能有效減緩風險。
企業計畫和網路安全需求之間的斷裂,顯示企業必須更認真看待網路安全。關於達成監理要求,領導層的參與十分關鍵,而且優先重視整個領導層的網路風險管理,有助於安全與IT團隊在事故發生時做更好的決定,並直接指導。讓網路安全成為公司價值,長字輩主管能優先投入時間與資源到安全措施上,十分關鍵。
在規劃會議及董事會時,讓網路風險管理成為主要議題,可以增進整個組織的一致性。這也會確保網路安全符合策略措施。在基本層次,這代表了在所有員工、安全方案與工作流程之間建立起更佳的網路衛生。長字輩主管必須以身作則,並為所有員工(不只是安全與IT團隊)提供資源和訓練需求,以瞭解他們各人對組織安全之影響。。
提及投資工具,長字輩主管應該投入預算到各種方法上,以評估網路風險並確保所有利害關係人都參與。另外,有全網路的能見度,可協助及早偵測和阻止攻擊—遠快過威脅者達成目的、引發對組織的傷害。
網路安全成為長字輩、董事會日常優先事項關鍵的話,會是什麼樣子呢?有幾個公司展現了將網路安全整合到其執行策略的範例,做為其他人學習的基準。其中一個顯著的例子就是JPMorgan Chase,他們在金融業飽受注目的資料外洩後,就大幅強化其網路安全防禦。執行長Jamie Dimon採取了積極的作為—優先重視網路安全為核心業務考量。JPMorgan Chase每年投資了超過6億美元到網路安全上,聘僱了超過3000名IT安全專家,並建立專門的網路安全營運中心。此全面性的方法,是由最高層領導人推動的,以確保對升高的威脅有健全的保護,並突顯高階經理人參與網路安全之關鍵性。
另外一個例子是Equifax,他們在2017年資料外洩後就大幅轉型。公司任命了新執行長Mark Begor,優先重視網路安全為最重要的營運事項。在他的領導下,Equifax投資了15億美元來徹底改善其網路安全基礎設施,包括採用先進安全技術、設立資安長職位。此策略投資與高階經理人的承諾,不僅強化了Equifax的安全能力,也恢復了利害關係人的信任,並讓公司成為網路安全韌性的領導者。
(4)印度Sebi對受監管的實體發表新的網路安全架構
2024年8月20日看到印度有監理機關在網路安全上有新的作為。
印度市場監理機關Sebi在8月20日提出新的網路安全架構,所有受監管的實體被要求具備適當的安全監控機制,新規範會從2025年一月開始實施。
除此之外,還會對市場基礎設施機構及受監理實體實施Cyber Capability Index (CCI),定期監控和評估其網路安全成熟度與韌性。
Cybersecurity and Cyber Resilience Framework (CSCRF)在與利害關係人諮詢後推出,其時機正逢網路攻擊日益升高。
此架構會替代Sebi現有的網路安全公告與指導方針。
對小型的受監管實體,Sebi說NSE與BSE兩證交所將建立Security Operation Centres (SOCs),以協助他們達成新架構下的要求。
SOCs將提供網路安全方案,專供小實體用,確保他們能在有限資源下達成網路安全韌性。
所有受監理實體,都要透過SOCs建立適當的安全監控機制。
該架構會分兩階段實施,第一批是在2025年1月1日起;另一批是4月1日。
在有限的時間下,各實體被期待要依CSCRF進行網路安全查核,並在規定的時間內傳輸報告給主管機關。
(5)給公司董事的網路安全手冊
這是2024年 10月 1日SecurityInfowatch.com刊出、Justin Greis與Daniel Wallance所寫的” A cybersecurity handbook for corporate directors”。
在2023年,已知的勒索軟體付款額已達破紀錄的11億美元。IBM研究發現,在增加的網路攻擊裡有71%是使用偷得或外洩的憑證。麥肯錫(McKinsey)與國際金融協會(Institute of International Finance)的調查發現,縱使在熟知自己會遭受攻擊的金融服務公司,其能力通常還是比不上組織精良且專業網路罪犯的技能。
董事會在扮演積極監督角色上,站在特殊地位。以下是他們要記住的三個原則。
*切勿一無所知
2023年,美國SEC要求公開發行公司及外國私有發行公司,要立即報導其重要網路安全事故,並陳述其網路風險管理流程。公司被要求要說明—董事會如何監督風險。
為遵守這些規定,董事會應充分知悉,以便針對網路安全計畫成熟度、不同情況下對企業的潛在影響,以及公司風險容忍度,詢問適當問題。
關於最後一點,低容忍度或無容忍在成本、策略和焦點上差異很大。另外也可以做某些整合,比如對停機時間零容忍,對小規模外洩(僅影響少數客戶)為有限容忍。董事會的職權範圍,就是要做此權衡。
網路攻擊通常會在科技變遷時發生,比如移到雲端儲存。這就是說董事會必須注意公司在做什麼,以及可能有那些漏洞。尤其,董事會需要知道管理是追蹤公司軟硬體之營運,以及數位資產。
最後,投入相關活動相當有幫助,比如事故回應流程或網路模擬,以便更加瞭解威脅會如何發生,以及公司網路安全計畫運作情況。
*視網路安全為拉開競爭力的要素
McKinsey研究了114家公司,發現僅10%有對網路威脅做出防禦。為何?主要原因就是資金不足、缺乏知識、缺乏策略。董事會在這部分可多加把勁。
這不只是保護問題。當公司經歷眾所皆知的資料外洩或網路攻擊,會動搖客戶和供應商的信心,通常影響到股價。
問題在於詢問需要什麼、誰做、如何做?
*設定優先性
沒有組織可以一次做完所有事。記住,董事會要問的問題是:要先完成什麼?目標應該是要求管理階層發展風險基礎、支持業務的網路安全策略。亦即從保護最重要的事務開始,比如製造流程。一旦完成,就可邁向更複雜的措施,比如讓安全融入產品與系統發展。重要的是,不要讓控制與流程扼殺了內部創新。這是為何這些措施應該由有業務思維的人主導才行。
此外,董事會應確保其組織制定網路風險組合,之後再定期審視並確保決定會與已辨識的風險一致。為了能辨識優先性,問題應該是:若我們要獲得額外資源,我們該如何配置?要注意的一個領域是第三、第四方風險,亦即最重要的承包商,因為若受到攻擊,有可能會對其客戶帶來毀滅性的後果。
沒有留言:
張貼留言