设为首页 - 加入收藏 应用计算网_滁州站长网 (http://www.0550zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 2015 技术 系统 手机
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

网络安全资金对企业来说是一个无底洞吗?

发布时间:2019-10-23 19:28 所属栏目:[策划] 来源:Michael Gabriel
导读:副标题#e# 【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 无论企业在网络安全上花费多少费用,都无法保证不会发生重大事件。那么,企业高级管理人员和董事会如何知道做些什么才有意义? Michael Gabriel是Fortium Partners公司合伙人,
【大咖·来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》

无论企业在网络安全上花费多少费用,都无法保证不会发生重大事件。那么,企业高级管理人员和董事会如何知道做些什么才有意义?

网络安全资金对企业来说是一个无底洞吗?

Michael Gabriel是Fortium Partners公司合伙人,作为企业技术代表,他参加了美国信息风险委员会召开的一次会议。此外,还有来自财务、人力资源、法律、人身安全、内部审计以及外部审计行业领域的一些高级管理人员参加了会议。外部审计表明,安全人员需要向企业董事会介绍潜在的网络安全威胁。问题是,如果在管理人员做出回应之前就传达了这一点,那么所要做的就是引起他们的关注,否则可能无济于事。

Michael Gabriel表示,人们围绕如何最好地传达整体企业网络安全状况以及跨各个部门提出了一些问题,企业董事会需要尽快意识到这一点。无论网络安全情况如何,都需要由外部审计向企业董事会提供简报,而这是合理和必要的措施。

Michael Gabriel调查了一些专注于网络的大型专业服务公司,这些公司都建立了网络安全方法,但从最初的努力和持续的维护来看似乎非常困难,因为没有人能提供人们想要传达的清晰视角。

需要通过时间维度来看待网络安全观点

现在,人们都知道最好是通过一个清晰的故事传达观点。而人们的经历将会强化传达的观点,其中包括:

  • 过去–就重大事件而言,人们经历了什么?在这些事件中,人们学到了什么,做了什么?
  • 现状–人们在新闻中听到的威胁相关的风险是什么?将如何应对?
  • 未来–基于业务计划和不断发展的威胁,人们对未来需要担心什么?这对前瞻计划有何影响?

为了确保根据过去、现在和将来的观点给予适当的关注,有必要持续更新状态,重点放在关键的业务影响指标和计划上,最好是在与企业董事会会议相衔接的基础上进行。当然,这并不排除根据实际事件或感知到的威胁立即发出通知和采取行动的可能性,这些项目将列入下一次状态更新中。虽然这为人们的工作方式提供了时间视角,但并没有解决系统化网络安全态势所需的参考点。

确定网络安全风险的基础是什么?

Rain Capital公司执行合伙人兼董事会成员王晨曦(Chenxi Wang)博士提供了一个指导性的问题,就是“我们到底有多安全?”因为它不是基于任何评估框架的,而是基于个人观点的意见。要了解企业的安全状况,需要结合了解企业的威胁矩阵和评估网络安全风险的基础。

王晨曦博士指出,“网络安全风险需要在企业面临的重大风险的背景下进行讨论。如何评估这些风险是否需要董事会关注,应该使用类似的风险框架,并且每6个月左右评估一次。”

专家提出的例子通常是为家庭实施的安全保护。例如家庭中每个房间都部署感测器,例如烟雾、热量、水、一氧化碳、运动探测器和摄像头,每个房间采用全天候监控,但是并不能保证住房不会被抢劫,不会着火,也不会被洪水淹没。虽然购买保险能够弥补一些损失,但房主的生活将会受到严重中断,可能失去一些珍贵的贵重物品。但是,房主可以基于需要保护的内容决定需要支出保险费用。

从业务角度来看,这确实没有什么不同。通过法律合同,企业的业务会受到法律保护,免受第三方网络事件的影响,并在财务上受到网络保险的保护,但是即使采用这些保护措施,企业的声誉会受到什么影响?在进行补救之前,它将如何影响企业正在进行的流程或消费者或业务关系?

企业的业务风险和必要保护将根据其业务类型而有所不同。企业需要决定哪些资产(数据、系统访问等)需要保护?如果这些资产受损会有什么影响?

Gabriel表示,例如媒体集团有一些不同的业务,而订阅电视/点播业务面临的风险不同于实时新闻机构,广告支持的广播网络,电视和电影制作公司。尽管在整个组织中都有标准的信息安全策略,但是它们在各个业务部门中的相关程度却有所不同。

企业需要保护哪些资产?

管理人员需要考虑对于企业真正重要的事情。需要考虑的一些领域包括:

  • 消费者信息(无论是企业内部还是第三方管理)
  • 法规遵从性(包括州和联邦政府,国内和国际),例如PII、PCI、GDPR、CCPA、HIPPA等。
  • 供应链(数字或其他)
  • 品牌声誉(包括社交媒体影响以及面向公众或B2B的网站)
  • 知识产权保护,包括战略和计划
  • 员工信息(包括保密的第三方人员信息)
  • 非公开财务和合同信息

要发现这一点,需要与每个部门的所有业务负责人以及企业的外部会计事务所进行探讨。企业管理人员必须能够建立自己的信任关系,为业务提供帮助,而风险承受能力是业务决策,管理人员可以提供指导。

然后,企业需要了解网络安全框架和标准。可以考虑以下一些标准,但建议汇总这些标准以传达摘要级别的状态,并以某种方式传达当前和未来网络安全计划的潜在业务和财务影响:

  • 互联网安全中心(CIS)关键安全控制(CSC)
  • 美国国家标准与技术研究所(NIST)的网络安全框架(CSF)
  • SANS前20个控件
  • 欧盟的GDPR(通用数据保护法规)
  • 加州消费者保护法(CCPA)
  • ISO 27000系列(国际标准化组织(ISO)和国际电工委员会(IEC))
  • 美国企业董事协会(NACD)网络安全准则

资金对企业的网络安全风险有何影响?与同行相比如何?

尽职调查对于确定企业的网络安全地位至关重要,企业的首席财务官可以发挥重要作用。

行业中通常会有一些有关支出的行业指南,例如金融服务部门网络安全配置文件,可用于支出评估。那么会根据他们可能拥有的专业知识来探讨对其审计公司以及关键网络安全公司而言哪个有意义。

但是从这个角度来看,预算支出如何影响企业情况?如果企业的首席财务官、首席运营官或董事会问以下这些问题,那么将如何回应?

  • 是否需要更多资金用于网络安全计划,如果需要将如何降低风险?
  • 如果要求企业的网络安全预算削减10%,这是否增加风险?

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章