194
CEO、CFO、CIO和CMO應如何擔起企業安全的責任
保護數字資源和管理網絡風險的人才、過程和技術,是維係企業和社會穩定繁榮的基礎。即便如此,在很多企業中,董事會和高管層才剛剛開始真正參與到網絡安全策略和管理中來。
達斯達克最近的一次調查,凸顯了跨國企業高層在網絡安全意識和責任上的缺失:太多董事會成員和高管理解不了安全簡報,不願承擔數據泄露的責任。
聯網技術和設備、大數據,以及網絡犯罪的同時引爆,導致了新高管角色的更廣泛采納,比如首席安全官(CSO)、首席信息安全官(CISO)和首席數字官(CDO)。隨著信息監管、風險管理和合規在範圍和複雜度上的增長,讓高管層焦慮忙碌的的高級策略和監督責任更多了。然而,如果角色未能清晰定義,或者協作不力,新增的責任也會引入混亂和低效。
涉及網絡安全問題,董事會成員和核心高管,尤其是沒有直接參與部署安全項目的那些,能否完全融入並持續做出貢獻是極為重要的,比以往任何時候都重要。
CEO(首席執行官)、CFO(首席財務官)、CIO(首席信息官)和CMO(首席營銷官)之類的角色在過去十年裏經曆了重大轉型。企業領導的公眾監督創了曆史新高,部分原因是大量黑客事件和全球數據泄露事件的爆發。過去幾年的經驗越來越表明,在數據泄露事件中,被黑企業會被追究完全責任並被大家斥責。因此,高管層的每一個人,都可能麵對著巨大的壓力。
不過,好消息是,高管們開始對保護企業資產、數據、員工和客戶的安全措施投以更多的注意了。警示故事、末日場景和公眾羞辱的威脅起到了重要影響。高管意識和參與最終得到了提升,但建立堅固的防線需要持續的戰略性的協作。主管們必須從上至下地推行責任文化,確保他們的意思傳達到企業各層級。
隻有在高管們用自己的專業知識和特殊地位幫助確立優先級,並保持安全工作符合企業目標的情況下,全方位照顧到防禦、風險管理、預防、檢測、修複和事件響應才會更加可行。我們可以來看一下高管中每個角色的職能和地位。
CEO
CEO的位子可不好坐,常常麵對著千頭萬緒的工作。他們要處理不斷湧入的IT基礎設施及服務相關新規則和風險因素,確保企業正常運轉。這些挑戰隻能通過協作性的團隊工作來應對。建立完備健壯的網絡安全項目,需要來自CEO的強大領導力,以及與董事會和其他高管協作打破傳統職能樊籬重新定義角色的意願。通過保持安全項目符合公司戰略目標,CEO可幫助公司獲取競爭優勢,自信把握新興機會。
為保持對公司安全準備程度的準確大局觀,CEO必須主動征求並提煉來自不同利益相關者關於安全的顧慮、意見和建議。確保團隊用“何時”而非“是否”發生安全事件的思維思考問題是十分重要的——網絡攻擊太多太複雜,認為可以完全規避掉是十分愚蠢的想法。
數據泄露發生時,你必須拿出快速有效的事件響應;響應越快,結果越好。在監管者和消費者眼裏,信譽是由全麵持續的網絡安全工作支持的。CEO必須展示出通過安全分析、培訓、計劃和測試有意建立的快速恢複策略。CEO通過強調持續溝通與協作的重要性來領導全局。在整個公司和供應鏈範圍內倡導安全意識文化,可以加強公司的防禦;“內部人士威脅”依然是最常見的攻擊界麵。
CFO
網絡罪犯直接或間接地攻擊財務係統,各種類型的數據泄露持續影響公司的底線。這些持續的威脅,需要CFO緊密參與進安全措施和網絡風險管理中來。CFO還忙於偷盜、浪費和供應鏈問題導致的資金損失,所有這些都可能源於網絡事件或被網絡事件激增放大。
從內部運營到投資人關係,CFO角色的每一個部分都涉及高度敏感的數據,這些數據必須被嚴格管控和保護。為履行他們基於信任的職責,CFO必須保有對這些關鍵信息的存儲位置、潛在的竊賊和竊取方式的深入了解。他們的職責包括向董事會揭示網絡攻擊的潛在影響。這就要求CFO們將安全風險集成到關於投資、規程和合作夥伴關係的討論和決策中。分析網絡保險和安全解決方案的可行性和成本效率也落在CFO的職責範圍內。另外,CFO還應該緊密參與到公司事件響應計劃的起草和演練部分,與股東、合作夥伴、供應商和客戶進行溝通。
在倡導和推進可促進公司長期增長的關鍵投資上,CFO也扮演著重要的角色。有前瞻眼光的CFO,能認識到網絡安全投資作為保護信譽、股價、金融資源和專利信息主要方式的重要性。
CIO
CIO這個角色,當然是與網絡安全責任緊密相連的。CIO明顯能從更廣泛的協作方法中收獲最多。集結了公司各領域菁英的統一的前端,明顯比隻依靠IT團隊構建的薄弱防線有力得多。
隨著CISO和CDO之類新的角色加入分擔工作量,CIO們應擔負起將非技術類高管和董事會成員拉進來的責任。他們的新方針,是精於協調所有利益相關者,為安全項目獲取更好的資金和支持。他們必須用商業和風險的語言陳述問題,說服董事會和投資者認同IT與風險管理之間的重要聯係。董事會想要的是定期更新的指標和評估,以便進行不同時期的比較。將這些數據形成準確全麵的信息技術風險視圖的方法,也是董事會需要的。納斯達克調查發現,大部分董事會成員,尤其是那些防護脆弱的公司裏的,就不能理解網絡安全報告。CIO的工作,就是橋接起這危險的認知空白。
維持技術收益、安全控製和風險管理之間的有效平衡,是CIO的職責所在。通過將自己的工作與商業戰略目標相吻合,CIO將能更緊密地與其他高管同事協作,塑造商業決策、有競爭性的戰略和可持續的創新。
CMO
CMO(首席營銷官)照顧著與客戶的聯係比以往任何時候都更緊密的數字王國,所以,他們的角色近幾年來見證了巨大的改變絲毫不令人感到驚訝。手機營銷、社交媒體、廣告技術和大數據帶來的進步,推動了消費數據的巨量增長,可供營銷目的進行收集和分析。這些數據大多受到隱私條例的監管,管理這些數據的部分工作,就是要保護數據不被竊取和濫用。畢竟,網絡罪犯對這些數據的興趣,跟你也是一樣的。數據驅動的市場營銷取決於客戶的信任,而頻現報端的重大數據泄露事件正在侵蝕這份信任。
品牌和客戶間關係受網絡攻擊餘波損害的事情越來越多。數據泄露事件中,CMO身處前線和焦點。所以,他們應確保自身是事件響應和數據安全計劃中的一部分。近期事件的重大教訓之一,就是財務和信譽傷害是被放大還是緩解,取決於品牌響應的快速性、可信度和效率。隻要客戶感受到透明度或關切度的缺失,CMO的所有努力就會灰飛煙滅。
今天的企業中,CMO的部門驅動著基於數字的增長。董事會和管理團隊依賴他們來引領品牌、產品和創新工作獲得競爭優勢,同時又避免與數據隱私法規衝突。確保品牌堂堂正正鶴立雞群,就是CMO的工作。
責任從頂層開始
高管具備公司組件內部互聯方式的最清晰全麵視圖。對共同價值和戰略的認真共享的承諾,是管理團隊和董事會間構築良好關係的基石。隻有通過真誠持續的協作,網絡犯罪和網絡間諜這類的複雜威脅才能被妥善管理。缺了同步監管,風險因素將長驅直入。
跨國企業裏往往會有很多元素超出高管的控製,傳統風險管理的敏捷度也不足以應付網絡空間活動的危險。夯實準備的基礎,高管們可以基於供公司耐受度和風險概況評估威脅界麵,打造網絡恢複力。將企業導向準備充足、響應及時、恢複有效的位置,是保護資產安全,保護客戶、合作夥伴和雇員安全的確切方式。
所有高管挺身而出,擔負起橋接意識和行動間空白責任的時候到了。今天這種不斷擴張的全球網絡威脅態勢下,想要扛住持續的動態的網絡威脅,企業需要自頂向下打造根深蒂固的安全和責任文化。
本文轉自d1net(轉載)
最後更新:2017-07-24 10:33:08