二、网络安全战略调整与预算规划 大部分受访者表示 , 防止外部网络安全攻击的重要程度在去年有所上升 。 公司应对安全问题的策略以及是否公布遭遇的数据泄露也因此受到影响 。
首先 , 在过去的三年内 , 惯用的决策状态已经改变 。 像CIO与CISO这样传统网络安全战略决策者正在与CEO、CFO、法律合规部门及业务部门管理人员这些非IT领域的管理者共同进行决策 。 除此之外 , 董事会要求更多地了解企业的安全状态 。 安永的调查结果中显示 , 约有一半的公司每年向董事会就网络安全管理状况进行三到四次汇报 。
各公司对网络安全部门的资金分配也有所增长 。 研究发现 , 企业对于网络安全管理的预算在过去的三年中呈增长趋势 , 且在未来几年将持续上涨 。 从长远来看 , 终端网络安全策略将会是预算增加的主要领域 , 网络和数据中心安全紧随其后 。
在调查中 , 90%遭受过数据泄露的公司预计将在未来三年内增加网络安全预算 。 有趣的是 , 同行业中 , 公布过数据泄露情况的公司与未公布过的公司投放增长预算的领域有所不同 。 尚未公布过数据泄露情况的公司认为网络入侵防御、移动设备管理(MDM)和防御垃圾电子邮件将成为未来三年预算增加的重点领域;而那些公布过数据泄露的公司预计将在未来三年更多将预算投入多因素认证(MFA)、单点登录(SSO)、访问权限控制以及网络防火墙领域 。
近日 , 一项新的法律判例为公司收购的考虑因素与预算设置带来了更高的要求 。 在2021年3月 , 一名法官裁定消费者可以就企业因未做尽职调查而发生违规行为提起集体诉讼 。 引以为鉴 , 为避免遭遇集体诉讼 , 企业未来在进行收购前 , 无论是否有网络安全尽职调查的经验 , 收购发起公司都必须对被收购公司的网络安全状态进行尽职调查 。 将网络尽职调查责任外包给专业的供应商以更好地发现网络安全漏洞与抵御潜在的索赔风险 , 是更为明确的选择 。
值得一提的是 , 网络安全问题没有一劳永逸的解决方案 。 对网络安全的投资和预算水平应与公司对风险的承受力相匹配 。 无论如何 , 公司不应该等到安全事件发生后才开始寻求问题解决方案 。
三、董事会应当了解什么? 如今 , 管理层与董事会对公司网络安全治理与应急响应能力承担了更多的管理责任 。 董事会倾向专注企业层级网络安全治理 , 而拥有更多技术背景的CISO则更关注风险管理 。 为了帮助双方更为有效地进行探讨 , 安永提供以下关于有效治理网络安全的核心问题 , 供企业在遭遇网络攻击时参考 , 以便双方可以快速地达成一致 。
1. 公司是否受到本次网络入侵攻击的影响?
- 是 , 公司应当如何减轻入侵影响 , 应对此次攻击所利用的漏洞?
- 否 , 公司本次采取了哪些主动防御措施以防止类似的网络入侵?
- 哪些资产 , 包含数据资产 , 被入侵了?
- 在财务、监管、企业信誉与运营能力方面带来的总风险是多少?
- 是否有独立的第三方对本次事件的影响范围与影响程度进行评估?
- 在调查、止损、根除与恢复阶段都发现了哪些安全漏洞?
- 公司是否购买了相应的网络安全保险?受影响资产是否包括在其中?保险供应商是否已参与事件理赔?
- 从此次网络入侵安全事件中汲取了哪些经验和教训?
- 公司的第三方和第四方是否有受到入侵?
特别声明:本站内容均来自网友提供或互联网,仅供参考,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。