(1)網路風險就是企業風險:給長字輩主管、董事會與立法者考慮的六個建議
這篇是Forbes在2024年 9月 24日刊出、Shane Buckley所寫的” Cyber Risk Is Business Risk: Six Tips For The C-Suite, Boardroom And Lawmakers To Consider”。
在今日動盪的經營局勢裡,高階經理人陷入了微妙的平衡行動之中。促進效率、推動成長和增進獲利的壓力十分無情,特別是在持續的經濟逆風當中。但是,在此高風險的平衡行動裡,有一個重要因素常會被忽視:網路安全。
不願優先重視網路安全,並不是因為無知。事實上,有時候剛好相反,某些長字輩主管或許因優先性的競爭,無意間調低、或避免完全面對網路安全漏洞的範圍。其他或許會把其責任交給安全團隊,代表這個關鍵問題有人做了。但防禦性的網路安全策略並不足夠。這會拉高企業風險並讓組織暴露於風險之中。
一如2024年Gigamon的《混合雲端安全調查》(Hybrid Cloud Security Survey)所示,組織並沒有對今日演進中的威脅局勢做好準備。事實上,在去年,有超過三分之一的組織未能藉由其現有工具偵測安全漏洞,比例較2023年的31%高。
在今日數位世界裡,再怎麼強調網路安全的重要性也不為過。雖然美國立法部門已採取措施來改進網路安全規定—比如即將到來的零信任要求,預計會在2027年生效—這還只是起頭而已。美國很多網路安全法規已經過時,無法面對21世紀的威脅。此外,至每個董事會都瞭解到網路風險是一種企業風險以前,我們將持續看到因根植於防禦性安全局勢及協議的脆弱全球架構基礎設施,而引發的災難性結果。
為協助克服這些缺陷,以下是長字輩主管、其董事會及國家領導人應立即考慮的六個根本性措施:
1.資安長進董事會
根據作者最近的資料,有59%的資安長說他們因為網路風險成為董事會優先事項,而被賦予最多權力。然而,資安長必須定期向董事會更新這方面的狀況,才能使這件事實現。這包括經常與董事會召開網路安全會議,以教育董事今日威脅局勢的演變中風險,以及跑在威脅者之前需要做哪些事。
2.絕不各自為政
為確保維持對業務、其議程上的優先事項及風險有知識性的討論,重要的是資訊長、資安長及技術長要向同一人與/或同一層級報告。
在今日數位世界裡,資訊長與技術長通常會從應用角度高度關注於如何提高組織內的效率及效能。然而,當在混合與多重雲端環境下工作量變得更分散時,組織的安全態勢就變得複雜很多,讓資安長面對到安全落差上的挑戰。當資安長、資訊長與技術長彼此同步並向同一人報告(比如執行長)時,組織及其關鍵利害關係人就會就其業務獲得全面性的觀點,並做出明智的決定。
3.舉全公司之力
跑在威脅者前面,需要舉全公司之力;因此,重要的是考慮成立一個董事會的功能性委員會,負責組織整體安全局勢。這要授權董事會聘請外部專家作獨立的評估。這不是說資安長及其能力有問題,而是展現出他們瞭解組織的責任不能只落到某一個人身上。
4.讓第一線網路安全納入你的KPIs裡
當資訊長與技術長發展關鍵績效指標(key performance indicators (KPI)以衡量組織內的技術進步時,網路安全與相關風險必須成為對話的一部分。讓安全成為最優先事項的關鍵焦點十分重要,藉此,或許就必須要考慮落實變革的激勵措施。比如,董事會或許會考慮—基於組織整體安全能力來評估長字輩主管的薪酬。
5.強化基本的監理標準
一如前述,美國的網路安全規定已經過時、而且無法跟上新時代的網路犯罪。這需要強化監理標準,要求公司揭露他們不符標準之處。這將會使消費者瞭解—個資保密上可信任誰、以及就要跟誰做生意做出明智決定。
6.你不能確保無法見到的事
網路基礎設施安全的規定總是高度關注保護南北的流量,亦即組織進出的流量。這個挑戰是,若國家-州想要破壞網路,是可以這麼做的。
在2023年作者看到無盡的威脅案例是,威脅者繞過傳統週邊安全系統,以living off the land(意思是合法掩護非法)手段而猖狂。這些包括被稱為伏特颱風(Volt Typhoon)的駭客—他們花了五年時間駭入美國關鍵基礎設施,以及MGM和凱薩娛樂的入侵事件。這些類型的攻擊,都會對網路安全局勢帶來重大威脅。不管監理要求是否生效,組織都需要能看到所有網路流量—南北的與最近東西的—以便將因任何錯誤因素而登上頭版的風險降到最低。
在2023年所分析的30,458個安全事件及10,626個確認的外洩事件後,作者很清楚的知道面對網路犯罪上正節節敗退。何時才夠呢?什麼時候才能退一步承認網路安全阻礙及缺陷?我們能控制的只有這麼多,但藉由落實前述幾個要點,伙伴、顧客、董事會成員及股東,都能放心—他們已盡其所能降低企業風險,並確保組織的長期成功。
(2)新加坡在網路安全問題和技能落差上,有越來越緊密的連結
Forntier Enterprise在2024年9月26日有這則報導。根據Fortinet,有92%的新加坡公司去年遇過網路入侵,部分原因是缺乏網路技能,有五分之四認為網路風險日增的原因是技能落差。
這份報告是Sapio Research在2024年一月時所做的調查,包含了29個國家與地區1850位IT和網路安全決策者。在受訪者有30%是亞太區的,包括新加坡。
該研究發現,網路技能落差持續影響著全世界的公司。
公司領導人越來越會為網路事件負責,有70%的新加坡受訪者表示,董事或高階經理人會在網路攻擊後遭遇罰款或丟工作。
此外,65%的受訪者指出,其組織的資料外洩成本,在去年會對其營收造成超過100萬美元的損失、罰款或其他支出,較2023年報告的62%有升高。
因此,高階經理人與董事越來越重視網路安全,有74%受訪者說,新加坡董事會在2023年關注安全的程度,比前一年更高。94%的受訪者說,他們的董事會視網路安全為企業優先事項。
今年的調查也發現,在新加坡,有94%的受訪者說,他們想聘有認證資格的候選人;92%說他們會付費讓員工去獲得網路安全認證;以及74%指出,很難找到具科技認證的候選人。
該報告也發現,在新加坡,92%的受訪說,他們的組織在對未來幾年有多元聘僱目標;新加坡女性的聘僱比率,從2022年的90%升至92%。
許多組織仍偏好傳統背景的人選,82%仍要求四年制學位,42%只聘有傳統訓練背景的候選人。
成本高昂的網路攻擊頻率增加,加上董事可能會面臨嚴重的後果,故要盡快強化全企業的網路防禦。因此,組織正在關注如何對網路安全採三管齊下的方法—訓練、意識與技術。
首先,他們透過達成此目標所需的投資訓練與認證,協助IT與安全團隊獲得重要的安全技能。
其次,他們培育具網路意識的第一線員工,從第一道防線讓組織更為安全。
第三,他們會使用有效的安全方案,確保有強大的安全局勢。
Fortinet的行銷長John Maddison說,「為有效減少風險並對抗今日複雜的威脅,組織必須部署策略性作為—利用正確的安全技術、透過訓練與認證提高現有安全專業人士的技能,以及培育工作場所的安全意識。」
沒有留言:
張貼留言