董事会对网络安全的漠视导致安全事件频发

标签:安全网络安全信息业务企业

访客:31737  发表于:2015-09-14 10:08:40

调查显示,商界领导层缺乏对网络安全的关心。

董事会对网络安全的漠视导致安全事件频发

关于网络安全需求是否要与业务需求保持一致,或是安全问题是否应该提上“董事会议程”的话题,从来都不缺少争论。各大媒体、各路专家也似乎天天都在发布着各种各样的研究、报告,说什么与以往相比,董事会越来越关注组织的网络安全事务云云。

当然,媒体、专家了为博人眼球怎么说都是,但事实果真如此吗?最近国外的一项2015年美国网络犯罪调查,采访了超过500名受访者,包括企业高管、执法部门和政府机构等,给市场上关于网络安全关注度不断上升的一边倒舆论泼了一瓢冷水。

该网络犯罪调查发现,网络安全意见在董事会的统一方面,各类组织大概呈现三种不同的态势:不闻不问型、应付了事型、有备无患型。

首先是不闻不问型和应付了事型。调查显示,近三分之一约28%的受访者表示,他们的安全管理层从未就网络安全发表过相关报告;四分之一约26%的信息安全主管或组织内与之对应的人,每年都会在董事会发布一次年度网络安全报告。

除此之外,只有大约30%的受访者表示,他们的安全高管会定期与董事会进行接洽,提供季度网络安全报告。

毫不疑问,与小型组织相比,大型组织的信息安全高管们更有可能做出网络安全季报。调查中,三分之一的小型企业受访者表示,他们从未就网络安全工作向董事会提过相关建议。然而,更令人震惊的是,18%的大型企业网络安全高管也都从未向董事会提过相关建议。

这对于网络安全而言,绝非什么好消息。许多的安全专家都认为,董事会必须是信息安全决策链的一部分,并且网络安全应当被视为是全企业范围的风险——而不仅仅是由IT部门处理的IT风险{加黑}。然而不幸的是,这恰恰是许多组织对网络安全的看法。

事实上,只有42%的受访者将网络安全看作是公司管理问题,而有42%的受访者甚至认为网络安全不属于公司管理问题。说到董事会与网络安全的关系,最终的结果是在30%的组织中董事会成员或董事从未积极参与过网络安全,而董事会对网络安全事宜积极参与的组织仅有25%。

不幸的是,在许多组织中网络安全完全是脱节的感觉。一方面,领导层大谈特谈网络安全有多么多么重要,另一方面,网络安全部门却不停报怨缺少充分保障组织网络安全所需的工具和资源。

黑石集团(Blackstone)高级副总裁及首席信息安全官杰伊·利克(Jay Leek)曾无数次地谈到董事会和网络安全的重要关系。

作为全球投资和咨询企业,黑石集团投资了许多寻求网络安全指导的企业。杰伊·利克经常与黑石集团的董事会及黑石集团投资组合中其他企业的董事会谈论首席信息安全官的能力问题。

杰伊·利克说,与董事会沟通不能搞得太高深复杂,董事会需要的是对网络安全现状的现实理解。

“很多时候,我都要向董事会解释网络安全挑战的本质。我跟他们讲,要想阻止一切是不可能的,总会有些威胁趁虚而入,所以为什么说能够有效的对网络安全威胁作出响应才是最重要的。要让董事会理解这一点至关重要。”

下个月,杰伊·利克将在黑石公司搞一场网络安全报告会,他的目标就是保持信息简单化。

“报告包含四张幻灯片,其中两张用来解释网络安全的现实状况,希望他们能够在我试图解释他们需要做什么之前,能够理解并专注于问题的本质和量级。”

“我相信我们作为安全专业人士,也包括我自己在内,都曾由于我们把简单的事情搞复杂而使我们整个行业受损。我们有疯狂的框架、数百种不同的控制 机制和最佳实践。我们在有1200个供应商,认为我们需要所有这些疯狂而神奇的东西才得以有望保护自己的安全。其实我们真的不需要,并且我对与董事会沟通 以及对我们的沟通进行简化的原则深信不疑。”

只要公司高层与网络安全对上频率,协调一致,网络安全的问题才能够得到有效的解决。我们要做的,就是把事情简单化,让董事会理解并参与进来。

董事会对网络安全的漠视导致安全事件频发

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");