<p>各種規(guī)模和各行各業(yè)的組織都容易受到網(wǎng)絡(luò)安全風(fēng)險的影響&mdash;&mdash;威脅和漏洞的動態(tài)格局以及相應(yīng)的可能的緩解控制的過載。麻省理工學(xué)院高級講師Keri Pearlson是麻省理工學(xué)院斯隆管理學(xué)院網(wǎng)絡(luò)安全研究聯(lián)盟的執(zhí)行董事，也是麻省理工學(xué)院斯隆管理學(xué)院高管教育新課程&ldquo;董事會網(wǎng)絡(luò)安全治理&rdquo;的講師，她知道企業(yè)如何才能領(lǐng)先于這種風(fēng)險。在這里，她描述了當(dāng)前的威脅，并探討了董事會如何降低他們對抗網(wǎng)絡(luò)犯罪的風(fēng)險。</p> <p>&nbsp;</p> <p>問:2023年網(wǎng)絡(luò)攻擊的現(xiàn)狀對企業(yè)意味著什么?</p> <p>&nbsp;</p> <p>答:去年我們討論了疫情如何加劇了恐懼、不確定性、懷疑和混亂，為惡意行為者在我們的組織和家庭中進(jìn)行網(wǎng)絡(luò)惡作劇打開了新的大門。我們看到勒索軟件和其他網(wǎng)絡(luò)攻擊的增加，我們看到運(yùn)營高管和董事會越來越關(guān)心如何保證組織的安全。從那以后，我們看到網(wǎng)絡(luò)事件不斷升級，其中許多事件不再成為頭條新聞，除非它們非常獨(dú)特、具有破壞性或與以前的事件不同。對于網(wǎng)絡(luò)安全專業(yè)人員發(fā)明的每一項(xiàng)新技術(shù)來說，惡意行為者找到繞過它的方法只是時間問題。2023年，隨著我們進(jìn)入下一個保障組織安全的階段，我們需要新的領(lǐng)導(dǎo)方法。</p> <p>&nbsp;</p> <p>在很大程度上，這意味著確保我們的董事會具備深厚的網(wǎng)絡(luò)安全能力。網(wǎng)絡(luò)風(fēng)險是如此重要，以至于負(fù)責(zé)任的董事會不能再忽視它或直接將其委托給風(fēng)險管理專家。事實(shí)上，一個組織的董事會在保護(hù)數(shù)據(jù)和系統(tǒng)的未來方面發(fā)揮著獨(dú)特的至關(guān)重要的作用，因?yàn)樗麄儗蓶|負(fù)有受托責(zé)任，并有責(zé)任監(jiān)督和減少業(yè)務(wù)風(fēng)險。</p> <p>&nbsp;</p> <p>隨著這些網(wǎng)絡(luò)威脅的增加，以及公司相應(yīng)地增加其網(wǎng)絡(luò)安全預(yù)算，監(jiān)管機(jī)構(gòu)也在推進(jìn)對公司的新要求。今年3月，美國證券交易委員會發(fā)布了一項(xiàng)名為網(wǎng)絡(luò)安全風(fēng)險管理、戰(zhàn)略、治理和事件披露的擬議規(guī)則。在文件中，SEC描述了其要求上市公司披露其董事會是否擁有網(wǎng)絡(luò)安全專業(yè)人員的意圖。具體而言，注冊人將被要求披露是整個董事會、特定董事會成員還是董事會委員會負(fù)責(zé)監(jiān)督網(wǎng)絡(luò)風(fēng)險;向董事會通報網(wǎng)絡(luò)風(fēng)險的流程，以及就該主題進(jìn)行討論的頻率;董事會或指定的董事會委員會是否以及如何將網(wǎng)絡(luò)風(fēng)險視為其業(yè)務(wù)戰(zhàn)略、風(fēng)險管理和財務(wù)監(jiān)督的一部分。</p> <p>&nbsp;</p> <p>問:董事會如何幫助組織減輕網(wǎng)絡(luò)風(fēng)險?</p> <p>&nbsp;</p> <p>答:根據(jù)我和CAMS的同事進(jìn)行的研究，大多數(shù)組織關(guān)注的是網(wǎng)絡(luò)保護(hù)而不是網(wǎng)絡(luò)彈性，我們認(rèn)為這是一個錯誤。一家只投資于保護(hù)的公司無法管理在網(wǎng)絡(luò)事件發(fā)生時重新啟動和運(yùn)行的相關(guān)風(fēng)險，而且他們也無法對新法規(guī)做出適當(dāng)?shù)幕貞?yīng)。彈性意味著為恢復(fù)和業(yè)務(wù)繼續(xù)制定一個實(shí)際的計(jì)劃。</p> <p>&nbsp;</p> <p>當(dāng)然，保護(hù)是恢復(fù)力的一部分，但如果說大流行教會了我們什么的話，那就是它教會我們，恢復(fù)力是一種經(jīng)受攻擊并在對我們的行動影響最小的情況下迅速恢復(fù)的能力。一個網(wǎng)絡(luò)彈性組織的最終目標(biāo)將是零中斷的網(wǎng)絡(luò)入侵-沒有影響的運(yùn)營，財務(wù)，技術(shù)，供應(yīng)鏈或聲譽(yù)。董事會成員應(yīng)該問，什么情況下才會出現(xiàn)這種情況?他們還應(yīng)該確保高管和經(jīng)理們已經(jīng)為應(yīng)對和恢復(fù)做好了適當(dāng)?shù)臏?zhǔn)備。</p> <p>&nbsp;</p> <p>成為一名知識淵博的董事會成員并不意味著成為一名網(wǎng)絡(luò)安全專家，但它確實(shí)意味著了解基本概念、風(fēng)險、框架和方法。這意味著有能力評估管理層是否適當(dāng)理解相關(guān)威脅，是否有適當(dāng)?shù)木W(wǎng)絡(luò)戰(zhàn)略，并能夠衡量其有效性。今天，董事會成員需要在這些關(guān)鍵領(lǐng)域進(jìn)行集中培訓(xùn)，以執(zhí)行他們的使命。不幸的是，許多企業(yè)未能利用董事會的這一能力，或使董事會成員對戰(zhàn)略、協(xié)議和緊急行動計(jì)劃作出積極貢獻(xiàn)。</p> <p>&nbsp;</p> <p>我和CAMS的同事斯圖爾特&middot;馬德尼克(Stuart Madnick)和凱文&middot;鮑爾斯(Kevin Powers)一起，教授麻省理工學(xué)院斯隆管理學(xué)院(MIT Sloan Executive Education)的一門新課程&mdash;&mdash;董事會網(wǎng)絡(luò)安全治理，旨在幫助企業(yè)及其董事會跟上進(jìn)度。與會者將探討該委員會在網(wǎng)絡(luò)安全方面的作用，以及入侵規(guī)劃、響應(yīng)和緩解。我們還將討論即將出臺的許多新法規(guī)的影響和要求，這些法規(guī)不僅來自美國證券交易委員會，還來自白宮、國會以及世界上大多數(shù)州和國家，它們正在向公司施加更多的高層責(zé)任。</p> <p>&nbsp;</p> <p>問:有哪些公司，特別是董事會，在網(wǎng)絡(luò)安全領(lǐng)域取得成功的例子?</p> <p>&nbsp;</p> <p>答:為了確保董事會的技能反映市場的模式，聯(lián)邦快遞(FedEx)、孩之寶(Hasbro)、PNC和聯(lián)合包裹(UPS)等公司已經(jīng)改變了他們管理網(wǎng)絡(luò)風(fēng)險的方法，從董事會的網(wǎng)絡(luò)專業(yè)知識開始。在這樣的公司，建立彈性始于董事會制定的基于商業(yè)和經(jīng)濟(jì)分析的明確計(jì)劃。</p> <p>&nbsp;</p> <p>在我們研究的一家公司中，首席執(zhí)行官意識到他的董事會不太了解網(wǎng)絡(luò)攻擊的業(yè)務(wù)背景或財務(wù)風(fēng)險，所以他聘請了第三方咨詢公司進(jìn)行網(wǎng)絡(luò)安全成熟度評估。公司首席信息官向企業(yè)風(fēng)險管理小組委員會提交了報告的結(jié)果，圍繞網(wǎng)絡(luò)安全不同投資的業(yè)務(wù)和財務(wù)影響展開了富有成效的對話。</p> <p>&nbsp;</p> <p>另一家公司則把董事會的重點(diǎn)放在了網(wǎng)絡(luò)安全項(xiàng)目和運(yùn)營風(fēng)險的協(xié)調(diào)上。CISO、首席風(fēng)險官和董事會合作，從風(fēng)險角度了解組織的風(fēng)險敞口，從而優(yōu)化他們的網(wǎng)絡(luò)保險政策，以減輕新了解的風(fēng)險。</p> <p>&nbsp;</p> <p>從這些例子中得到的一個重要啟示是，使用風(fēng)險、彈性和聲譽(yù)的語言來彌合技術(shù)網(wǎng)絡(luò)安全需求與董事會執(zhí)行的監(jiān)督責(zé)任之間的差距的重要性。董事會需要了解網(wǎng)絡(luò)風(fēng)險帶來的財務(wù)風(fēng)險，而不僅僅是網(wǎng)絡(luò)演示文稿中常見的技術(shù)成分。</p> <p>&nbsp;</p> <p>網(wǎng)絡(luò)風(fēng)險不會消失。它每天都在升級，變得越來越復(fù)雜。讓你的董事會&ldquo;參與進(jìn)來&rdquo;是滿足新的指導(dǎo)方針的關(guān)鍵，為網(wǎng)絡(luò)安全計(jì)劃提供充分的監(jiān)督，并使組織更具彈性。</p> <p>&nbsp;</p> <blockquote> <p>注：本文由院校官方新聞直譯，僅供參考，不代表指南者留學(xué)態(tài)度觀點(diǎn)。</p> </blockquote>