如今,公司遭受网络安全诉讼的情况并不少见。CapitalOne最终支付了1.9亿美元的网络安全诉讼费用。随着UltimateKronos组织因涉嫌在勒索软件攻击中的疏忽而被起诉,许多企业已将糟糕的网络安全系统视为根本问题。这两则新闻强调了企业在持续的网络威胁战争中面临的风险。受损企业继续面临直接和??可见的影响:停机、数据丢失、收入损失、声誉受损和监管罚款。现在风险和损失越来越大,越来越多的网络安全事件常常引发消费者、投资者和其他受影响方的集体诉讼,他们声称公司和董事会本身应该采取更多措施来保护敏感信息。当然,近年来,许多公司已采取措施改进网络安全实践。Target、Equifax、Marriott和其他知名公司的数据泄露事件提高了安全意识,并迫使IT决策者加强网络安全政策和实践。但数据泄露事件不断发生,法律诉讼也是如此。问题是,许多企业仍未将网络安全作为真正的优先事项。虽然这种情况在SMB中更常见,但对于一些大型企业来说仍然是个问题。大多数仍然依赖IT经理来制定和实施安全策略。许多企业领导者仍未充分参与其网络安全战略,或者没有将网络威胁作为公司董事会议程的重中之重。以下是企业领导层优先考虑网络安全的四个基本步骤:1.加强企业董事会的网络安全技能企业董事会必须在网络安全准备方面发挥积极作用。首先必须确保他们能够胜任这项任务。这不仅仅是让成员与IT和业务领导层就员工进行补救性讨论。董事会成员需要自我教育以应对持续的网络安全挑战。公司董事会可以首先评估其成员的网络技能水平,并聘请一名或多名具有网络安全专业知识的董事会成员。这些网络专家可以领导组织的小组委员会,并就网络安全战略与业务和IT领导者进行更直接的沟通。此外,公司董事会应接受年度或半年度培训,以跟上不断变化的网络安全形势。精通网络安全问题的董事会可以更好地解决风险、责任和技术问题,以便为他们必须做出的战略决策提供信息。2.建立自由流动的信息交流一旦公司董事会跟上步伐,管理层就有责任开发一种机制,促进有关网络风险和战略的一致沟通。管理人员应留出时间就计划、程序和与网络安全风险相关的持续问题进行密切互动。重要的是,该机制包括所有部门的利益相关者,从业务到IT,从法律到人力资源和营销,每个人都应该参与。虽然网络安全技术仍将处于IT的控制之下,但战略和实施贯穿所有部门,并一直延伸到公司董事会。互动应该是公司董事会持续职责的一部分,管理者应该充当教育者和促进者。3.指定执行发起人虽然网络安全涉及各个部门,但将响应计划的制定委托给某人非常重要。执行发起人不必制定整个计划,但负责人应该是有权推动变革并保持整个企业协调一致的领导者。理论上,首席信息官、首席信息安全官或首席安全官应该能够胜任这项任务。对于企业而言,任命一名业务负责人担任此职位更有意义,因为他的工作与创收活动或运营相关,而不是与技术相关。这个人应该有机会获得技术领导,但在处理任务时应该专注于业务战略。虽然技术很重要,但更重要的是围绕如何最好地为数据泄露做准备并在此类事件发生时维持业务运营来制定最佳响应计划。4.在整个企业内分配角色虽然CISO和首席安全官将继续塑造企业的安全议程,但其他领导者也需要发挥积极作用。CFO必须确保在企业的所有财务流程中内置一定级别的安全性。人力资源总监需要仔细审查新员工的简历,并作为员工熟悉安全实践的渠道。销售主管需要提高安全性,因为员工的远程虚拟访问可能使他们成为黑客的主要载体。结论在当今社会,企业不能指望完全消除网络安全诉讼。但它们可以在加强网络安全方面发挥积极作用。企业需要将网络安全作为一个领导问题,并将其扩展到整个企业,一直到公司董事会,这是朝着正确方向迈出的一步。
