4/4 可免費閱讀文章篇數免費閱讀

本文出自

擴增實境:大賺數位財

擴增實境:大賺數位財

2017年11月號

員工是最佳防駭軟體

The Best Cybersecurity Investment You Can Make Is Better Training
克里斯.福洛 Chris Furlow , 丹特.狄斯派特 Dante Disparte
瀏覽人數:959
  • "員工是最佳防駭軟體"

  • 字放大
  • 文章授權
    購買〈員工是最佳防駭軟體〉文章授權
  • 購買文章
    購買〈員工是最佳防駭軟體〉PDF檔
    下載點數 10
技術解決方案趕不上威脅。

隨著網路威脅形勢的規模和複雜性廣為人知,組織普遍缺乏網路安全準備也廣為人知,即使已花費數億美元在最先進技術的公司,也不例外。投資人蜂湧進入網路安全市場,尋找下一個軟體「獨角獸」企業,卻不了解像這麼複雜的風險,並沒有萬靈丹可用,更不用說單靠技術絕對是不夠的。

花數百萬美元在安全技術上,當然會使高階主管「感覺」安全。但大多數的網路威脅來源,不是技術方面的。它們存在於人的大腦中,以好奇、無知、冷漠、傲慢的形式呈現。這些人類的惡意軟體形式,可以在任何組織中看到,而且和透過惡意程式碼造成的威脅一樣危險。

面對任何網路威脅,第一道和最後一道防線,都是讓領導人和員工做好準備,無論他們是在組織內部,還是相互連結的供應鏈當中的成員。

但組織的領導階層,往往表現出他們完全只顧技術。沒有做好準備、無知的領導階層,只會放大安全漏洞造成的後果。2016年雅虎(Yahoo)宣布遭到攻擊的規模如此大,加上反應笨拙,導致該公司和公司股東在與威訊(Verizon)的合併案中,損失3.5億美元,而且整筆交易幾乎告吹。

為了準備面對和防範未來的網路攻擊行動,企業必須在嚇阻和安全監測的技術,以及以人為中心的敏捷行動之間,取得平衡。這些以人為中心的強力作為,必須超越經常受到討論的「高層的道德方向」,而必須包括主動的領導方法,明快做出決定。網路威脅加倍增加,全面性的風險管理,現在是董事會層級的優先要務。動見觀瞻的投資人華倫.巴菲特(Warren Buffett),在波克夏海瑟威公司(Berkshire Hathaway)的年會上特別指出,網路風險是人類面對的最嚴重問題之一。

企業必須認清和因應三個令人不安的事實。第一,網路風險正根據摩爾定律(Moore's Law)在演變。這是光靠技術解決方案,永遠趕不上動態網路威脅的主要原因。第二,和所有威脅管理一樣,防守遠比進攻困難。攻方只要得逞一次,就能對企業造成難以計算的破壞。第三,最糟的是,攻擊者有耐性,伺機而動。企業可能因為建立防衛技術、防火牆,以及自以為完善的網路安全保障,而陷入安逸自滿的危險狀態。

危險之處在於,認為可以透過某種全面性的防禦系統,完美「管理」這些風險。較好的做法,是假設你的防線將會遭到突破,而且訓練員工若發生這種情況時該怎麼做。我們建議不要把它想成「風險管理」,而應是「風險敏捷性」。敏捷的企業,會讓組織所有層級都擁有決策路標和邊界,以設定風險忍受度的門檻。不只要讓所有員工了解,組織對於他們在公司政策和線上行為方面的期望,也要訓練他們認清惡意或可疑的活動。關鍵特性是「察覺有狀況、就要採取行動」的概念,尤其是和網路風險有關的狀況,更要如此。如此一來,組織中所有人都成了「神經安全網」的一員。舉例來說,已被偷走8,100萬美元左右的環球銀行金融電信協會(SWIFT)銀行網路遭駭,就是由德國一位警覺性很高的銀行辦事員認出拼字錯誤,而防禦成功的。

當我們說,所有員工必須在風險上保持敏捷,我們真的是指所有人都應當如此。組織高層、董事會成員、股東,以及其他資深領導人,不只必須投資訓練公司本身的員工,也要考慮如何評估和提供資訊給他們的業務所依賴的外人,像是承包商、顧問,以及供應鏈中的供應商。這些第三方能進入公司網路,曾造成幾次眾所矚目的資訊安全事件,包括標靶百貨(Target)和家得寶(Home Depot)等公司,都曾受害過。

心懷疑慮的高階主管可能不同意這個構想,會反問:這不是要花很多錢嗎?其實,花在網路安全訓練上的經費非常不足,而且,持續發生因個人失誤而造成網路資料外洩,外洩數量如此大,正證明了企業沒有投資高品質的網路教育計畫。更糟的是,資料外洩的數量嚴重低報,即使它們很早就被發現,卻因企業不願擴大商譽上的風險而掩飾。CSO雜誌和卡內基美隆大學(Carnegie Mellon University)軟體工程研究所CERT小組2016年的一項調查中,受訪者表示,「50%的私人資訊或敏感性資訊無意中外洩事件」的來源是內部人士。內部人士的威脅包括惡意活動,但也包括員工犯下錯誤,例如落入網路釣魚的騙局中。

總而言之,企業總要作一些投資,以加強人員作好準備。但隨著時間的流逝,成本效益一定划得來,尤其是和執行尖端網路安全技術相比,因為這類尖端技術可能會過時。明確的說,技術是網路安全拼圖中極重要的一塊,但就和包含所有最新安全技術的汽車一樣,最好的防禦,仍是熟練的駕駛人。

此外,遲遲沒有採取更強安全措施的企業,可能會被監管機構逼著這麼做。例如,紐約州金融服務司最近公布的法規,要求受監管企業「定期提供網路安全意識訓練給所有人員」。這可能只是美國其他各州,以及世界各地政府機構將發布的法規的冰山一角。世界各國對網路安全法規採取「胡蘿蔔和棍子」做法的觀點漸趨一致。

人工智慧、機器學習、自我學習的演算法,可能是資訊科技熱門投資項目的最新趨勢,但技術是為人而存在,也是由人來使用。因此明智的企業領導人必須了解,網路安全的未來並不在於單一解決方法,也不在於神奇的工具,真正的解決方案是在技術防禦之上,還要加上一層防護,也就是「人員準備程度」。

(羅耀宗譯自2017年5月16日HBR.org數位版文章)



克里斯.福洛 Chris Furlow

全球山脊(Ridge Global)總裁,也是美國商會網路領導委員會(U.S. Chamber of Commerce Cyber Leadership Council)主席。


丹特.狄斯派特 Dante Disparte

風險合作社(Risk Cooperative)創辦人兼執行長,與人合著新書《全球風險敏捷性與決策》(Global Risk Agility and Decision Making)。


本篇文章主題風險管理

你可能還會想看

您已閱讀 4

您的免費閱讀篇數即將到達上限。

登入哈佛商業評論網站會員,即可觀看更多免費閱讀文章!

登入會員 »