分享

如何建立具备网络能力的董事会

0
董事会层面的网络安全

马特·帕尔默(Matt Palmer)谈网络安全政府调查发现,只有不到三分之一的FTSE-350董事会接受过如何应对网络事件的培训。中小企业的数字不太可能好转。 Willis Towers Watson的网络风险管理解决方案高级总监Matt Palmer, 提供八个实际步骤来确保您的高层团队已准备就绪

在短短几年内,网络已经从角落里的书呆子变成了风险的金·卡戴珊(Kim Kardashian)。似乎每个人对此问题都有意见。那是因为这很严重-可以在网络风险的基础上建立并摧毁企业。

世界经济论坛的 《 2019年全球风险报告》 在可能性和影响方面,将网络攻击列为地球面临的七大风险之一,而包括伯克希尔·哈撒韦公司的沃伦·巴菲特和摩根大通银行的杰米·戴蒙在内的知名首席执行官则将其视为企业的头号威胁。

尽管如此,威利斯大厦沃森(Willis Towers Watson)对1300个大型国际组织的调查发现,只有11%的董事会直接对其公司的网络安全负有直接责任。

尽管私营部门在防护技术和合规性方面的投资有所增加,但很少有企业领导人对网络风险有清晰的了解,并且对自己的公司已采取必要的保障措施充满信心。

在此问题上仍很难为董事提供实用的建议,因此,这里有一些直接的方法可以改善董事会对网络风险的控制。

从前面带领

有效的网络安全需要领导才能,这应该首先是董事会,然后才是负责业务方面的高管。在许多公司中,情况恰恰相反,董事会正在寻求其安全主管的指导和目标。要求您的网络主管解释该组织面临的威胁。然后为他们提供明确的指导,以指导您多快解决这些问题以及可以承受的风险等级。

与您的CISO交谈

很少有首席信息安全官(CISO)与他们组织中的董事会有密切关系-许多人不直接向董事会报告。同时,具有不同职责的首席信息官通常负责最高级别的网络安全,但是IT运营和安全优先级经常会发生冲突。董事会可以从安全和技术领导者的共同合作中学到很多东西,但是最好的方法是咨询他们两者。

提出所有正确的问题

要了解您公司的弹性水平,请让您的安全负责人告诉您:您拥有哪些数据系统和资产,它们在哪里以及哪些重要(大多数都不重要);最担心什么情况以及您的控件将如何阻止它们;当出现问题时,您将如何发现以及如何迅速发现问题;以及最坏情况发生时组织将如何应对以及恢复的机会。使用他们的答案来指导您的事件响应计划。

报告中的需求明确

Willis Towers Watson的研究发现,96%的董事会成员希望对网络安全进行更多投资。是什么阻止了他们?安全报告通常可以是定性的(诸如“高”,“中”和“低”风险之类的术语可以不同地解释)或与业务目标无关。坚持进行风险评估,以量化网络安全漏洞的可能性和影响。事故的潜在成本与您的投资相比如何?

从非执行董事那里获得更多收益

并非每个公司都需要一个“网络专家”,但至关重要的是,董事会中要有足够的经验和知识来向专家提出正确的问题。该人过去可能曾领导过高管层的回应,或者观察了其他公司董事会如何处理网络事件。这里的挑战是要掌握适当的技能。不要以为您的技术水平最高的董事会成员(例如前首席信息官)会自动担任此职务。相反,请评估董事会的能力并制定解决知识空白的计划。

在模拟中发挥作用

我们的研究表明,只有13%的董事会成员感到自己已经从公司犯下的安全错误中学到了东西。造成这种情况的关键因素是对如何处理危机缺乏了解。所有公司都应定期测试其准备情况。可以将其作为桌面练习来完成,但是最好使它尽可能真实。例如,IBM X-Force Command网络战术操作中心提供了一个培训平台,可以运行全面的网络事件模拟。董事会成员应积极参与此类练习,以练习如何应对。

练习与媒体打交道

严重的网络事件将成为头条新闻,因此您需要制定媒体管理策略以限制任何声誉损失。 TalkTalk 2010-17年的首席执行官男爵夫人Dido Harding试图做正确的事,因为2015年的一次网络攻击危及了数百万客户的详细信息,但她仍然不得不面对激烈的批评。聘请公共关系专家或危机管理顾问,选择最关心您的场景,然后站在镜头前,并在他们的帮助下练习如何处理媒体的烧烤。

关注人的方面

网络风险被视为IT问题,但我们的研究表明,导致网络保险索赔的事件中有90%是人类行为造成的。您的人力资源,IT和安全团队应为此共同努力–讨论公司的文化如何支持网络安全和风险管理。

网络安全将在“Connected”IoD道路开放日活动中的活动。访问 iodopenhouse.co.uk 详情

单击此处获取有关网络安全的更多领导观点

分享

关于作者

马特·帕尔默

马特·帕尔默

马特·帕尔默于2014年加入Willis Towers Watson,出任首席信息安全官,领导公司进行重大安全转型和合并,然后再担任新职务,领导网络风险管理解决方案的开发。他是一位经验丰富的全球CISO和前Web应用程序开发人员,他在毕马威(KPMG)开始了自己的职业生涯,之后创立了自己的公司,然后转向金融服务。

没意见

时间限制已用完。请重新加载验证码。