为何要将网络空间安全纳入企业风险管理？

香加一

       企业董事会和高级管理层最关心的是数字报表、企业战略和业务运营，这是他们管理并带领企业走向成功的关键。

       但高管们普遍不喜欢谈论风险，并很少为风险制定计划。当谈到信息安全治理和保护企业免受黑客入侵和网络攻击时，对网络安全知甚少的企业领导人就会自然而然地把问题甩给企业的信息技术专家。

       然而这种状态必须要做出转变，因为现在信息治理已经是企业风险管理框架的一部分。放眼所有的数据泄露事件，一个重大的遗漏就是，公司在事件响应计划升级和损失最小化方面的失败。

       如今，仅有一份事件响应计划已经远远不够了，企业必须要投入资源和精力对数据漏洞进行评估，防止黑客和其他入侵者的破坏。与此同时，企业还面临着由自带设备办公（BYOD）策略和实践以及员工简单错误所带来的严重内部风险，当然关于BYOD的话，现今已有UniNAC式解决方法，当然这个是后话。

       所以公司高级管理层必须在这一领域采取积极主动，需注重以下几个问题：

       · 公司是否有降低安全泄露影响的事件响应计划？

       · 流程中是否给关键利益相关者分配了特定的角色？

       · 董事会是否有报告机制来监控这些事件，并确保公司适当回应此类事件？

       致力于对保护网络入侵的前期措施缺少充分投资的危机管理方案是容易的，但公司必须加大投入以寻求积极的方法来最小化风险。这对于处理许多风险已经是老套路了，但是考虑到网络攻击造成的财务和声誉方面的损失，公司又不得不优先考虑网络风险。

       网络安全已经不应该是仅仅属于信息技术专家的问题了。为管理这些风险，董事会成员和高级管理人员必须对技术问题更加熟悉。报告路线和部门必须在网络攻击前予以明确，以保证风险可控。

       最后，一旦处理这些问题的治理结构准备就绪，公司必须投入时间和精力对事件响应能力进行测试。这样公司很快就会知道哪些策略是有效的，而哪些策略则是无效的。我们可以称之为网络消防演习，为了避免灾难性事件，这样的演习还是值得花费时间和精力去做的。

       在处理网络风险中，公司经常忽略其供应商造成的风险。公司必须对其供应商所造成的风险进行评估。忽略供应商风险而只关注内部风险是容易的，但由供应商所造成的网络安全风险会造成风险管理和响应的复杂化，并且常常导致旷日持久而纷繁复杂的诉讼。

       转载