本文出自

數位抗疫力

數位抗疫力

網路維安,長字輩高層齊步走

Why the Entire C-Suite Needs to Use the Same Metrics for Cyber Risk
傑森.霍格 Jason J. Hogg
瀏覽人數:2504
財務長對網路風險的看法,不該與行銷長不同。

關於網路安全,組織內部的溝通鏈往往一團亂,甚至根本沒有這種溝通鏈。組織內部許多各自獨立運作的事業部,對於網路風險,各有許多不同的說法。同時,長字輩高層也用不同的指標,像是財務、法規、技術、營運等,來衡量網路風險的潛在影響,導致產生相互衝突的評估結果。執行長若要解決這種各自為政的亂象,就必須藉創造一種文化,促進各方公開溝通和採取透明化的方式,來面對安全漏洞,並協同合作來處理組織承受的風險。

各產業裡各種規模的組織,正經歷網路風險激增的衝擊。隨著消費者要求更多數位互動和智慧型裝置,企業必須保護的端點數量大增。(顧能公司〔Gartner〕估計,到2020年,會有超過兩百億個相互連結的裝置。)組織面對的大敵,從作惡的個人,演變到能力高強的組織犯罪集團和國家。法規監管環境日益變化,而且有些時候,在地方、國家和國際層級發生衝突。從2014年索尼影視娛樂(Sony Pictures)遇駭,到今年5月和6月發生的全球性勒索軟體攻擊,這些廣為人知的網路攻擊,凸顯財務和商譽可能遭到重大的傷害。

執行長如果要掌控這個不斷演變的威脅,就必須剷除組織內部各自為政單位之間的壁壘,以評量整個企業的所有風險面向,全方位地處理這些曝險。不這麼做的後果,可能是失去股東和顧客的信任,甚至連他們自己的工作也不保;最近Equifax遭到駭客攻擊事件導致執行長在內的多位高階主管下台,就是如此。

長字輩高層談到網路風險時,使用的語言往往不同,而且,指揮線更強化了各自為政的傾向。舉例來說,法律總顧問思考這個問題的角度,是要遵循歐盟一般資料保護法規(European Union's General Data Protection Regulation)等資訊安全規定。資訊安全長(CISO)或資訊長(CIO)報告的是他的團隊已成功修復的技術漏洞。風險長(CRO)看這個問題的角度,則是風險移轉和已購買的網路保險。財務長則重視潛在的財務影響。

各個職能之間這種缺乏溝通和協調的情形,使得組織很難評估網路風險對整體事業造成的衝擊,也很難制定任何共同的指標來評估衝擊。這也使得組織很難決定哪些是最需要優先緊急處理的風險,也很不容易正確地引導心力和資源,去處理那些風險。

執行長應採取幾個步驟,以創造共同的語言,來處理組織的網路安全議題。

首先,執行長應把長字輩主管的不同成員找來,讓所有利害相關人彼此溝通,共同努力,以針對企業的曝險,建立切合實際且整合的整體看法。這包括:找出可能遭受風險的重要資料與資產;評估技術弱點;了解威脅的整體形勢;理解網路攻擊可能造成的法規後果,以及法規遵循的後果;量化攻擊的財務含義(例如,業務停擺的成本、法律訴訟、修復成本、企業價值損失、品牌和商譽受到的傷害);更正確地了解對股東價值的影響。

第二步,是創造一種文化,鼓勵員工公開談論網路曝險,不必擔心負面的後果。執行長極少鼓勵長字輩關鍵成員,尤其是資訊安全長或風險長,在公司曝險的演變過程中,報告那些曝險的嚴重性。網路風險是會變動的,因此執行長必須創造一種文化,持續針對新事件對安全造成的影響,交換意見;這些新事件包括:引進新技術和系統、新的網路威脅,以及必須結合不同組織的資訊系統與安全文化的併購行動。

執行長應主動去認識長字輩高層以外,在安全領域中工作的同事。執行長愈常和系統工程師、技術團隊談話,就會愈放心問起組織的安全問題。如果風險長和資訊安全長只報喜不報憂,執行長就應該就提高警覺。

第三,執行長應做好遭到網路攻擊的準備,確保意外事件發生時每個人都知道該做什麼事,而且彼此能夠有效溝通。組織應有量身打造的事件應變計畫,經常透過模擬攻擊加以測試,而這麼做,也能測試公司的安全漏洞。這種計畫有助於讓業務中斷情況減到最少、縮短攻擊者竊取極重要資料和金錢的時間,以及減少所受的傷害。

事件應變計畫應包括四個階段:準備;偵測與分析;防堵、消除與復原;事件之後。

準備階段最為重要,因為在事件發生時才制定應變計畫,不會有效果。規畫有助於所有利害關係人了解本身的角色和責任,從哪些狀況構成安全事件,到由誰發起應變計畫,都包括在內。這也有助於領導階層在真的發生攻擊事件時,滿懷信心地對內與資深高階主管和董事溝通,對外與顧客、外部法律顧問、保險公司、法規監管人員與執法機關溝通。

在偵測與分析階段,安全團隊決定事件的範圍,以及收集分析所需的資料。第三個階段是防堵:移除系統裡受感染的部分,並修復發現的任何漏洞,以阻止攻擊擴散。事件之後的階段,要檢討什麼事情做得好、什麼事情做得差,以及下次哪些事情可以做得更好。

外部的網路安全專家可協助制定計畫。如果他們沒有參與,執行長至少應考慮找外部人士測試這套計畫的有效性,以及十分重要的是,他們務必在事件發生之前,與外部公司洽談事件應變委任事宜。遭到攻擊時,你不會想要費神磋商合約條件的細節。

最後,企業應設置一個內部職能,由安全漏洞長領導,定期稽查公司的準備是否周全。這個單位應直接向執行長報告,也應模擬對業務的攻擊(資訊安全長或資訊長另外也會進行攻擊模擬)。它應尋求對於最近的網路安全方法、威脅和趨勢擁有最新看法的外部網路專家,請他們提供客觀無偏見的看法,並協助挑戰管理階層所做的決策。

執行長應集合所有的職能,設法建立共同的指標,以評估網路風險,好讓每個人講相同的語言。執行長也應該透過公開的對話、規畫與測試,建立安全的文化。接著,當他問起各種問題,例如「我們最大的風險是什麼?」「我們的重大資產是什麼?」「誰能取得它們?」「我們目前的資訊安全政策是什麼?」「我們的事件應變計畫是什麼?」「上次是什麼時候測試的?」提出這些問題之後,他們就能更正確了解情況的全貌。

執行長必須了解業務真正面臨的網路風險,才能排定資源配置的優先順序,以便妥善管理。

(羅耀宗譯)



傑森.霍格 Jason J. Hogg

怡安網路解決方案(Aon Cyber Solutions)執行長,協助組織管理網路風險的財務與技術層面。


本篇文章主題風險管理