缺乏网络安全知识会导致高管们做出懒惰的决定

作者:蓝蝰游

<p>网络安全攻击的数量和规模正在增加,澳大利亚是世界上最大的目标之一联邦政府指出,目前网络攻击对澳大利亚经济的影响是每年170亿澳元原因很多,包括缺乏方向和承诺了解战略层面的信息安全澳大利亚国立大学的研究表明,中型企业的网络风险执行/董事会知识不足,网络级别的网络安全风险治理在各组织之间存在巨大差异这是令人不安的因为董事会的最终责任导演报告发现,只有58%的网络安全专业人士认为他们的董事会对网络风险有足够的了解不到一半(46%)的人表示他们的董事会很少或很少讨论网络安全</p><p>几乎三分之一(30%)甚至表示他们的董事会确实如此没有收到剑桥大学公司的网络威胁报告和零售银行Lloyds,也表明这种程度的不确定性导致董事会意识到他们不知道他们正在处理什么和放弃董事会通过购买网络保险简单地外包网络攻击的风险这样做报告评论:“随着越来越多的企业寻求保护其资产负债表免受这种新兴威胁的影响,过去两年在澳大利亚购买的网络保险金额增加了168倍(16,828%)”这种方法的问题网络风险是指为了解组织所拥有的信息的价值,控制和成本而付出的努力太少网络保险是一种产品,涵盖企业存在数据泄露风险,员工错误处理数据和计算机黑客攻击的风险它涵盖了应对网络攻击所涉及的责任和费用</p><p>例如,索尼估计它在PlayStation网络上花费了1.71亿美元进行清理工作</p><p>因为在2011年被黑客攻击简单地通过购买网络保险来外包攻击的风险无法保护组织的声誉免受重复和持续的网络攻击的影响另一个问题是,通过网络攻击丧失商业机密,损害组织的竞争优势,难以衡量和保险我的研究表明,管理人员应该确定组织中信息的价值和敏感性只有这样他们才能做出明智的决定,决定应该使用什么样的IT基础设施,以及是否通过外包寻求专家帮助但是要确定所有信息</p><p>一个组织认为并不像第一次听起来那么容易例如,一些商业对话发生在社交媒体平台上,例如LinkedIn企业需要考虑这些对话是否属于雇主的责任范围,因此是否应该警告或支持员工持有这些e电子对话组织有时可以拥有大量秘密的信息池但是保留非战略性的敏感秘密信息成本高昂且可能毫无意义考虑例如拥有在线订购网站的零售组织这种组织不应该是记录和持有客户的信用卡详细信息,如果可以帮助将货物或服务的支付外包给金融服务中介提供良好的商业意义通过不持有信用卡详细信息并有效地外包该功能,组织已经使自己更安全,因为它根本不能在报纸首页上泄漏信用卡详细信息有时候敏感信息是进行业务运营的必要条件如果这是不可避免的,那么组织可能需要询问他们是否有安全控制来保护他们的敏感信息信息足够这也可能扩展到信息bein g供应商或客户使用如果评估显示安全控制不够,则需要为董事会增加预算提出商业案例这可能代价高昂,但如果需要敏感信息进行业务运营,则必须受到保护并且应该批准安全预算组织通常无法充分评估和防范与其他组织存储或共享信息所带来的风险 示例包括与供应商,客户,监管机构和合同工作人员共享来自供应商端攻击的高调网络笨拙包括2013年12月的目标攻击,....

上一篇 : Carly Sawatzki