這篇"How CISOs Can Make Cybersecurity a Long-Term Priority for Boards"是由Shaun McAlmont所寫、2024年4月4日在Dark Reading刊出。以下分享一些內容,希望一系列分享能有助於國內也在推動的資安長。
董事會必須支持網路安全意識訓練計畫,讓整個公司都準備好不斷變化網路威脅,而資安長必須引領這項任務。
資安長在讓利害關係人支持整個公司的網路安全上,扮演重要角色—尤其對董事會。董事會成員通常對公司網路安全局勢缺乏必要的知識,難以做出明智的決定,而以清楚且動人的方式教育他們,正是資安長的工作。資安長必須表達網路攻擊會引發多大的危害、員工可準備辨識和預防這些攻擊的方式,還有如何維持其減緩風險計畫的責任。
以下的五個策略,可協助資安長在意識訓練上獲得董事會的長期支持,包括以投入、非技術性的方法溝通網路安全概念,以及向董事展現網路安全計畫可顯著提高投資報酬率。
1.知道如何向非技術出身者溝通
雖然有四分之三的資安長說,他們有「適當地向董事會報告」,但大多數資安長說,他們的董事會「缺乏知識或經驗,難以有效回應他們的報告」。資安長必須對這個不一致做更多事—這個流程要從評估如何向董事會成員溝通開始。
網路安全對非技術出身者是一個令人生畏的主題,但不是一定會如此。資安長可以透過指出網路攻擊對現實世界毀滅性的後果、展現網路罪犯如何欺騙及操弄受害者,以及說明正確的行為介入讓所有員工可抵禦網路攻擊,來提出易於瞭解、能說服人的網路安全案例。
隨著董事會提供其網路安全投資,對資安長而言重要的是,強調減緩風險策略(比如意識訓練)之價值。
2.關注整個網路影響鏈
根據IBM,資料外洩的平均成本在2023年揚升到445萬美元。網路攻擊也會引發嚴重的名譽損害、營運中斷、法律和監理後果,並對員工健康造成不佳影響。這就被視為網路影響鏈—對資安長要向董事會溝通而言是很重要的概念。
董事會需要意識到,網路攻擊的效應遠超出直接的財務負擔。當有86%的消費者擔心資料隱私時,一次重大的網路攻擊會拖垮企業信任多年。當資料管理的法規日益嚴格,公司必須為客戶資訊負起責任。
3.強調人為因素
資安長具備知識能解釋如何打擊重大網路安全的策略。比如,74%的資料外洩是人為因素—社交工程仍是網路犯罪最有力的武器之一。
資安長在與董事會討論社交工程時有幾個方法。他們針對社交工程攻擊之影響,可提供明確證據、解釋意識訓練如何協助公司預防這些攻擊,並強調教育員工最有效的方式。網路安全是每個人的責任,這是為何資安長要以一致、有趣、相關的意識訓練內容,來吸引員工投入。
意識訓練是降低資料外洩影響財務最好的一個方法,因為它可協助公司跟上新的網路威脅,而且考慮到每個人的心理感受及學習風格。
4.說明如何衡量意識訓練計畫
當網路安全投資增加,資安長需要讓責任成為其意識訓練的核心支柱。當董事會成員看到網路安全支出取得回報時,資安長要能夠維持這件事。
資安長必須確保員工學到他們需要瞭解的事務—最迫切的網路威脅及對應措施。公司可評估(比如模擬網路釣魚)所暴露的漏洞,以及判斷員工是否能夠將其所學應用到現實場景。
除了模擬網路釣魚,資安長可向董事會說明其他形式的責任:員工特定行為的風險概況、整個組織的安全評估,並積極報導事故。這些都是向董事會保證:資源投入網路安全是會妥善使用的方法。
5.確保長期的支持
儘管對網路攻擊的擔憂越來越高,但很多公司仍只是把網路安全當成是方格打勾的工作。
因為網路威脅局勢總在轉變,故公司須讓員工知道最新的網路犯罪手法。安全意識訓練計畫的目標,就是創造一個貫穿組織上下的網路安全文化,可因應任何挑戰。
網路犯罪會不斷發展出更複雜與有效的方法,藉由操縱員工而滲透公司。這是為何資安長必須確保網路安全措施受到董事會長期的支持—因為威脅只會變得更可怕,而公司有責任要做好準備。
沒有留言:
張貼留言