企业董事会和高级管理层最关心的是数字报表、企业战略和业务运营,这是他们管理并带领企业走向成功的关键。
但高管们普遍不喜欢谈论风险,并很少为风险制定计划。当谈到信息安全治理和保护企业免受黑客入侵和网络攻击时,对网络安全知甚少的企业领导人就会自然而然地把问题甩给企业的信息技术专家。
然而这种状态必须要做出转变,因为现在信息治理已经是企业风险管理框架的一部分。放眼所有的数据泄露事件,一个重大的遗漏就是,公司在事件响应计划升级和损失最小化方面的失败。
如今,仅有一份事件响应计划已经远远不够了,企业必须要投入资源和精力对数据漏洞进行评估,防止黑客和其他入侵者的破坏。与此同时,企业还面临着由自带设备办公(BYOD)策略和实践以及员工简单错误所带来的严重内部风险,当然关于BYOD,现今已有UniNAC式解决方法,不过是后话。
所以公司高级管理层必须在这一领域采取积极主动,需注重以下几个问题:
· 公司是否有降低安全泄露影响的事件响应计划?
· 流程中是否给关键利益相关者分配了特定的角色?
· 董事会是否有报告机制来监控这些事件,并确保公司适当回应此类事件?
致力于对保护网络入侵的前期措施缺少充分投资的危机管理方案是容易的,但公司必须加大投入以寻求积极的方法来最小化风险。这对于处理许多风险已经是老套路了,但是考虑到网络攻击造成的财务和声誉方面的损失,公司又不得不优先考虑网络风险。
网络安全已经不应该是仅仅属于信息技术专家的问题了。为管理这些风险,董事会成员和高级管理人员必须对技术问题更加熟悉。报告路线和部门必须在网络攻击前予以明确,以保证风险可控。
最后,一旦处理这些问题的治理结构准备就绪,公司必须投入时间和精力对事件响应能力进行测试。这样公司很快就会知道哪些策略是有效的,而哪些策略则是无效的。我们可以称之为网络消防演习,为了避免灾难性事件,这样的演习还是值得花费时间和精力去做的。
在处理网络风险中,公司经常忽略其供应商造成的风险。公司必须对其供应商所造成的风险进行评估。忽略供应商风险而只关注内部风险是容易的,但由供应商所造成的网络安全风险会造成风险管理和响应的复杂化,并且常常导致旷日持久而纷繁复杂的诉讼。
随着互联网发展和IT技术的普及,网络和IT已经日渐深入到日常生活和工作当中,社会信息化和信息网络化,突破了应用信息在时间和空间上的障碍,使信息的价值不断提高。但是与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。
一名出色的网络安全工程师可以是一个出色的黑客。但是一个优秀的黑客不一定能是一个优秀的网络工程师
【参考要点】1)表明观点:由于一些原因,维护网络安全的“白帽黑客”群体实则游走在法律的边缘地带。[2分]“白帽黑客”必须严守法律红线。[2分]2)具体分析:①“白帽黑客”重视“讲道义”没有错。[2分]一必“白帽黑客”告知企业网站系统存在漏洞,使其避免了“黑帽黑客”从中盗取信息。[2分]相关法律为善意的“白帽黑客”留有实施公益的空间。[2分]②“白帽黑客”必须“讲法律”。[2分]“白帽黑客”的“洗白”以及越界操作行为没有法律依据,实质是犯罪行为。[2分]3)总结论述:“白帽黑客”必须在“讲法律”的前提下“讲道义”。[2分]【评分说明】本题分值由结构分和要点分两部分构成。结构分:能从“表明观点一具体分析一总结论述”三个方面组织答案的,赋结构分4分。要点分:共8个要点,每个2分。要点的含义相符或相近即可给分,每个要点要么给满分,要么给0分。【参考答案】“白帽黑客”之我见“白帽黑客”目的是维护网络安全,但由于部分人缺少自律、行业管理不规范和信息安全监管缺失等原因,导致这一群体游走在法律的边缘地带。“白帽黑客”绝不能因为“道义”而罔顾法律,必须严守法律红线。“白帽黑客”重视“讲道义”没有错。一些“白帽黑客”借助第三方漏洞平台,告知企业网站系统存在漏洞,使其有效避免了“黑帽黑客”从中盗取信息牟利。为此,我国相关法律也为善意的“白帽黑客”留有一定酌发挥能力和实施公益的空间。但是“白帽黑客”必须“讲法律”。法律为“白帽黑客”的行动划定了红线,“白帽黑客”的“洗白”以及漏洞检测过程中的越界操作行为都是没有法律依据的,实质是犯罪行为。因此,“白帽黑客”必须在“讲法律”的前提下“讲道义”,用法律规范群体行为,促进行业的健康发展。