<p>各種規(guī)模和各行各業(yè)的組織都容易受到網(wǎng)絡安全風險的影響&mdash;&mdash;威脅和漏洞的動態(tài)格局以及相應的可能的緩解控制的過載。麻省理工學院高級講師Keri Pearlson是麻省理工學院斯隆管理學院網(wǎng)絡安全研究聯(lián)盟的執(zhí)行董事，也是麻省理工學院斯隆管理學院高管教育新課程&ldquo;董事會網(wǎng)絡安全治理&rdquo;的講師，她知道企業(yè)如何才能領先于這種風險。在這里，她描述了當前的威脅，并探討了董事會如何降低他們對抗網(wǎng)絡犯罪的風險。</p> <p>&nbsp;</p> <p>問:2023年網(wǎng)絡攻擊的現(xiàn)狀對企業(yè)意味著什么?</p> <p>&nbsp;</p> <p>答:去年我們討論了疫情如何加劇了恐懼、不確定性、懷疑和混亂，為惡意行為者在我們的組織和家庭中進行網(wǎng)絡惡作劇打開了新的大門。我們看到勒索軟件和其他網(wǎng)絡攻擊的增加，我們看到運營高管和董事會越來越關心如何保證組織的安全。從那以后，我們看到網(wǎng)絡事件不斷升級，其中許多事件不再成為頭條新聞，除非它們非常獨特、具有破壞性或與以前的事件不同。對于網(wǎng)絡安全專業(yè)人員發(fā)明的每一項新技術來說，惡意行為者找到繞過它的方法只是時間問題。2023年，隨著我們進入下一個保障組織安全的階段，我們需要新的領導方法。</p> <p>&nbsp;</p> <p>在很大程度上，這意味著確保我們的董事會具備深厚的網(wǎng)絡安全能力。網(wǎng)絡風險是如此重要，以至于負責任的董事會不能再忽視它或直接將其委托給風險管理專家。事實上，一個組織的董事會在保護數(shù)據(jù)和系統(tǒng)的未來方面發(fā)揮著獨特的至關重要的作用，因為他們對股東負有受托責任，并有責任監(jiān)督和減少業(yè)務風險。</p> <p>&nbsp;</p> <p>隨著這些網(wǎng)絡威脅的增加，以及公司相應地增加其網(wǎng)絡安全預算，監(jiān)管機構也在推進對公司的新要求。今年3月，美國證券交易委員會發(fā)布了一項名為網(wǎng)絡安全風險管理、戰(zhàn)略、治理和事件披露的擬議規(guī)則。在文件中，SEC描述了其要求上市公司披露其董事會是否擁有網(wǎng)絡安全專業(yè)人員的意圖。具體而言，注冊人將被要求披露是整個董事會、特定董事會成員還是董事會委員會負責監(jiān)督網(wǎng)絡風險;向董事會通報網(wǎng)絡風險的流程，以及就該主題進行討論的頻率;董事會或指定的董事會委員會是否以及如何將網(wǎng)絡風險視為其業(yè)務戰(zhàn)略、風險管理和財務監(jiān)督的一部分。</p> <p>&nbsp;</p> <p>問:董事會如何幫助組織減輕網(wǎng)絡風險?</p> <p>&nbsp;</p> <p>答:根據(jù)我和CAMS的同事進行的研究，大多數(shù)組織關注的是網(wǎng)絡保護而不是網(wǎng)絡彈性，我們認為這是一個錯誤。一家只投資于保護的公司無法管理在網(wǎng)絡事件發(fā)生時重新啟動和運行的相關風險，而且他們也無法對新法規(guī)做出適當?shù)幕貞椥砸馕吨鵀榛謴秃蜆I(yè)務繼續(xù)制定一個實際的計劃。</p> <p>&nbsp;</p> <p>當然，保護是恢復力的一部分，但如果說大流行教會了我們什么的話，那就是它教會我們，恢復力是一種經(jīng)受攻擊并在對我們的行動影響最小的情況下迅速恢復的能力。一個網(wǎng)絡彈性組織的最終目標將是零中斷的網(wǎng)絡入侵-沒有影響的運營，財務，技術，供應鏈或聲譽。董事會成員應該問，什么情況下才會出現(xiàn)這種情況?他們還應該確保高管和經(jīng)理們已經(jīng)為應對和恢復做好了適當?shù)臏蕚洹?lt;/p> <p>&nbsp;</p> <p>成為一名知識淵博的董事會成員并不意味著成為一名網(wǎng)絡安全專家，但它確實意味著了解基本概念、風險、框架和方法。這意味著有能力評估管理層是否適當理解相關威脅，是否有適當?shù)木W(wǎng)絡戰(zhàn)略，并能夠衡量其有效性。今天，董事會成員需要在這些關鍵領域進行集中培訓，以執(zhí)行他們的使命。不幸的是，許多企業(yè)未能利用董事會的這一能力，或使董事會成員對戰(zhàn)略、協(xié)議和緊急行動計劃作出積極貢獻。</p> <p>&nbsp;</p> <p>我和CAMS的同事斯圖爾特&middot;馬德尼克(Stuart Madnick)和凱文&middot;鮑爾斯(Kevin Powers)一起，教授麻省理工學院斯隆管理學院(MIT Sloan Executive Education)的一門新課程&mdash;&mdash;董事會網(wǎng)絡安全治理，旨在幫助企業(yè)及其董事會跟上進度。與會者將探討該委員會在網(wǎng)絡安全方面的作用，以及入侵規(guī)劃、響應和緩解。我們還將討論即將出臺的許多新法規(guī)的影響和要求，這些法規(guī)不僅來自美國證券交易委員會，還來自白宮、國會以及世界上大多數(shù)州和國家，它們正在向公司施加更多的高層責任。</p> <p>&nbsp;</p> <p>問:有哪些公司，特別是董事會，在網(wǎng)絡安全領域取得成功的例子?</p> <p>&nbsp;</p> <p>答:為了確保董事會的技能反映市場的模式，聯(lián)邦快遞(FedEx)、孩之寶(Hasbro)、PNC和聯(lián)合包裹(UPS)等公司已經(jīng)改變了他們管理網(wǎng)絡風險的方法，從董事會的網(wǎng)絡專業(yè)知識開始。在這樣的公司，建立彈性始于董事會制定的基于商業(yè)和經(jīng)濟分析的明確計劃。</p> <p>&nbsp;</p> <p>在我們研究的一家公司中，首席執(zhí)行官意識到他的董事會不太了解網(wǎng)絡攻擊的業(yè)務背景或財務風險，所以他聘請了第三方咨詢公司進行網(wǎng)絡安全成熟度評估。公司首席信息官向企業(yè)風險管理小組委員會提交了報告的結果，圍繞網(wǎng)絡安全不同投資的業(yè)務和財務影響展開了富有成效的對話。</p> <p>&nbsp;</p> <p>另一家公司則把董事會的重點放在了網(wǎng)絡安全項目和運營風險的協(xié)調(diào)上。CISO、首席風險官和董事會合作，從風險角度了解組織的風險敞口，從而優(yōu)化他們的網(wǎng)絡保險政策，以減輕新了解的風險。</p> <p>&nbsp;</p> <p>從這些例子中得到的一個重要啟示是，使用風險、彈性和聲譽的語言來彌合技術網(wǎng)絡安全需求與董事會執(zhí)行的監(jiān)督責任之間的差距的重要性。董事會需要了解網(wǎng)絡風險帶來的財務風險，而不僅僅是網(wǎng)絡演示文稿中常見的技術成分。</p> <p>&nbsp;</p> <p>網(wǎng)絡風險不會消失。它每天都在升級，變得越來越復雜。讓你的董事會&ldquo;參與進來&rdquo;是滿足新的指導方針的關鍵，為網(wǎng)絡安全計劃提供充分的監(jiān)督，并使組織更具彈性。</p> <p>&nbsp;</p> <blockquote> <p>注：本文由院校官方新聞直譯，僅供參考，不代表指南者留學態(tài)度觀點。</p> </blockquote>