<p>各種規(guī)模和各行各業(yè)的組織都容易受到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的影響&mdash;&mdash;威脅和漏洞的動(dòng)態(tài)格局以及相應(yīng)的可能的緩解控制的過載。麻省理工學(xué)院高級(jí)講師Keri Pearlson是麻省理工學(xué)院斯隆管理學(xué)院網(wǎng)絡(luò)安全研究聯(lián)盟的執(zhí)行董事，也是麻省理工學(xué)院斯隆管理學(xué)院高管教育新課程&ldquo;董事會(huì)網(wǎng)絡(luò)安全治理&rdquo;的講師，她知道企業(yè)如何才能領(lǐng)先于這種風(fēng)險(xiǎn)。在這里，她描述了當(dāng)前的威脅，并探討了董事會(huì)如何降低他們對(duì)抗網(wǎng)絡(luò)犯罪的風(fēng)險(xiǎn)。</p> <p>&nbsp;</p> <p>問:2023年網(wǎng)絡(luò)攻擊的現(xiàn)狀對(duì)企業(yè)意味著什么?</p> <p>&nbsp;</p> <p>答:去年我們討論了疫情如何加劇了恐懼、不確定性、懷疑和混亂，為惡意行為者在我們的組織和家庭中進(jìn)行網(wǎng)絡(luò)惡作劇打開了新的大門。我們看到勒索軟件和其他網(wǎng)絡(luò)攻擊的增加，我們看到運(yùn)營高管和董事會(huì)越來越關(guān)心如何保證組織的安全。從那以后，我們看到網(wǎng)絡(luò)事件不斷升級(jí)，其中許多事件不再成為頭條新聞，除非它們非常獨(dú)特、具有破壞性或與以前的事件不同。對(duì)于網(wǎng)絡(luò)安全專業(yè)人員發(fā)明的每一項(xiàng)新技術(shù)來說，惡意行為者找到繞過它的方法只是時(shí)間問題。2023年，隨著我們進(jìn)入下一個(gè)保障組織安全的階段，我們需要新的領(lǐng)導(dǎo)方法。</p> <p>&nbsp;</p> <p>在很大程度上，這意味著確保我們的董事會(huì)具備深厚的網(wǎng)絡(luò)安全能力。網(wǎng)絡(luò)風(fēng)險(xiǎn)是如此重要，以至于負(fù)責(zé)任的董事會(huì)不能再忽視它或直接將其委托給風(fēng)險(xiǎn)管理專家。事實(shí)上，一個(gè)組織的董事會(huì)在保護(hù)數(shù)據(jù)和系統(tǒng)的未來方面發(fā)揮著獨(dú)特的至關(guān)重要的作用，因?yàn)樗麄儗?duì)股東負(fù)有受托責(zé)任，并有責(zé)任監(jiān)督和減少業(yè)務(wù)風(fēng)險(xiǎn)。</p> <p>&nbsp;</p> <p>隨著這些網(wǎng)絡(luò)威脅的增加，以及公司相應(yīng)地增加其網(wǎng)絡(luò)安全預(yù)算，監(jiān)管機(jī)構(gòu)也在推進(jìn)對(duì)公司的新要求。今年3月，美國證券交易委員會(huì)發(fā)布了一項(xiàng)名為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、戰(zhàn)略、治理和事件披露的擬議規(guī)則。在文件中，SEC描述了其要求上市公司披露其董事會(huì)是否擁有網(wǎng)絡(luò)安全專業(yè)人員的意圖。具體而言，注冊(cè)人將被要求披露是整個(gè)董事會(huì)、特定董事會(huì)成員還是董事會(huì)委員會(huì)負(fù)責(zé)監(jiān)督網(wǎng)絡(luò)風(fēng)險(xiǎn);向董事會(huì)通報(bào)網(wǎng)絡(luò)風(fēng)險(xiǎn)的流程，以及就該主題進(jìn)行討論的頻率;董事會(huì)或指定的董事會(huì)委員會(huì)是否以及如何將網(wǎng)絡(luò)風(fēng)險(xiǎn)視為其業(yè)務(wù)戰(zhàn)略、風(fēng)險(xiǎn)管理和財(cái)務(wù)監(jiān)督的一部分。</p> <p>&nbsp;</p> <p>問:董事會(huì)如何幫助組織減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)?</p> <p>&nbsp;</p> <p>答:根據(jù)我和CAMS的同事進(jìn)行的研究，大多數(shù)組織關(guān)注的是網(wǎng)絡(luò)保護(hù)而不是網(wǎng)絡(luò)彈性，我們認(rèn)為這是一個(gè)錯(cuò)誤。一家只投資于保護(hù)的公司無法管理在網(wǎng)絡(luò)事件發(fā)生時(shí)重新啟動(dòng)和運(yùn)行的相關(guān)風(fēng)險(xiǎn)，而且他們也無法對(duì)新法規(guī)做出適當(dāng)?shù)幕貞?yīng)。彈性意味著為恢復(fù)和業(yè)務(wù)繼續(xù)制定一個(gè)實(shí)際的計(jì)劃。</p> <p>&nbsp;</p> <p>當(dāng)然，保護(hù)是恢復(fù)力的一部分，但如果說大流行教會(huì)了我們什么的話，那就是它教會(huì)我們，恢復(fù)力是一種經(jīng)受攻擊并在對(duì)我們的行動(dòng)影響最小的情況下迅速恢復(fù)的能力。一個(gè)網(wǎng)絡(luò)彈性組織的最終目標(biāo)將是零中斷的網(wǎng)絡(luò)入侵-沒有影響的運(yùn)營，財(cái)務(wù)，技術(shù)，供應(yīng)鏈或聲譽(yù)。董事會(huì)成員應(yīng)該問，什么情況下才會(huì)出現(xiàn)這種情況?他們還應(yīng)該確保高管和經(jīng)理們已經(jīng)為應(yīng)對(duì)和恢復(fù)做好了適當(dāng)?shù)臏?zhǔn)備。</p> <p>&nbsp;</p> <p>成為一名知識(shí)淵博的董事會(huì)成員并不意味著成為一名網(wǎng)絡(luò)安全專家，但它確實(shí)意味著了解基本概念、風(fēng)險(xiǎn)、框架和方法。這意味著有能力評(píng)估管理層是否適當(dāng)理解相關(guān)威脅，是否有適當(dāng)?shù)木W(wǎng)絡(luò)戰(zhàn)略，并能夠衡量其有效性。今天，董事會(huì)成員需要在這些關(guān)鍵領(lǐng)域進(jìn)行集中培訓(xùn)，以執(zhí)行他們的使命。不幸的是，許多企業(yè)未能利用董事會(huì)的這一能力，或使董事會(huì)成員對(duì)戰(zhàn)略、協(xié)議和緊急行動(dòng)計(jì)劃作出積極貢獻(xiàn)。</p> <p>&nbsp;</p> <p>我和CAMS的同事斯圖爾特&middot;馬德尼克(Stuart Madnick)和凱文&middot;鮑爾斯(Kevin Powers)一起，教授麻省理工學(xué)院斯隆管理學(xué)院(MIT Sloan Executive Education)的一門新課程&mdash;&mdash;董事會(huì)網(wǎng)絡(luò)安全治理，旨在幫助企業(yè)及其董事會(huì)跟上進(jìn)度。與會(huì)者將探討該委員會(huì)在網(wǎng)絡(luò)安全方面的作用，以及入侵規(guī)劃、響應(yīng)和緩解。我們還將討論即將出臺(tái)的許多新法規(guī)的影響和要求，這些法規(guī)不僅來自美國證券交易委員會(huì)，還來自白宮、國會(huì)以及世界上大多數(shù)州和國家，它們正在向公司施加更多的高層責(zé)任。</p> <p>&nbsp;</p> <p>問:有哪些公司，特別是董事會(huì)，在網(wǎng)絡(luò)安全領(lǐng)域取得成功的例子?</p> <p>&nbsp;</p> <p>答:為了確保董事會(huì)的技能反映市場的模式，聯(lián)邦快遞(FedEx)、孩之寶(Hasbro)、PNC和聯(lián)合包裹(UPS)等公司已經(jīng)改變了他們管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的方法，從董事會(huì)的網(wǎng)絡(luò)專業(yè)知識(shí)開始。在這樣的公司，建立彈性始于董事會(huì)制定的基于商業(yè)和經(jīng)濟(jì)分析的明確計(jì)劃。</p> <p>&nbsp;</p> <p>在我們研究的一家公司中，首席執(zhí)行官意識(shí)到他的董事會(huì)不太了解網(wǎng)絡(luò)攻擊的業(yè)務(wù)背景或財(cái)務(wù)風(fēng)險(xiǎn)，所以他聘請(qǐng)了第三方咨詢公司進(jìn)行網(wǎng)絡(luò)安全成熟度評(píng)估。公司首席信息官向企業(yè)風(fēng)險(xiǎn)管理小組委員會(huì)提交了報(bào)告的結(jié)果，圍繞網(wǎng)絡(luò)安全不同投資的業(yè)務(wù)和財(cái)務(wù)影響展開了富有成效的對(duì)話。</p> <p>&nbsp;</p> <p>另一家公司則把董事會(huì)的重點(diǎn)放在了網(wǎng)絡(luò)安全項(xiàng)目和運(yùn)營風(fēng)險(xiǎn)的協(xié)調(diào)上。CISO、首席風(fēng)險(xiǎn)官和董事會(huì)合作，從風(fēng)險(xiǎn)角度了解組織的風(fēng)險(xiǎn)敞口，從而優(yōu)化他們的網(wǎng)絡(luò)保險(xiǎn)政策，以減輕新了解的風(fēng)險(xiǎn)。</p> <p>&nbsp;</p> <p>從這些例子中得到的一個(gè)重要啟示是，使用風(fēng)險(xiǎn)、彈性和聲譽(yù)的語言來彌合技術(shù)網(wǎng)絡(luò)安全需求與董事會(huì)執(zhí)行的監(jiān)督責(zé)任之間的差距的重要性。董事會(huì)需要了解網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來的財(cái)務(wù)風(fēng)險(xiǎn)，而不僅僅是網(wǎng)絡(luò)演示文稿中常見的技術(shù)成分。</p> <p>&nbsp;</p> <p>網(wǎng)絡(luò)風(fēng)險(xiǎn)不會(huì)消失。它每天都在升級(jí)，變得越來越復(fù)雜。讓你的董事會(huì)&ldquo;參與進(jìn)來&rdquo;是滿足新的指導(dǎo)方針的關(guān)鍵，為網(wǎng)絡(luò)安全計(jì)劃提供充分的監(jiān)督，并使組織更具彈性。</p> <p>&nbsp;</p> <blockquote> <p>注：本文由院校官方新聞直譯，僅供參考，不代表指南者留學(xué)態(tài)度觀點(diǎn)。</p> </blockquote>