赛虎网安友情提示:网络安全和信息安全是信息化时代决定信息化工作的重要指标,已经对大家的工作和生活产生了巨大的影响,在这种背景下,相关行业从业人员获得信息安全与网络运维相关知识和资质认证就显得尤为重要,所以很多企业都非常重视对内部专业人员进行信息安全专业知识的培养。本文介绍了一些大型网络安全事件以及企业管理者如何确保网络安全的具体步骤,非常值得学习和借鉴。具体内容如下:
当企业面临一些不怀好意的组织或者个人发动的网络攻击,例如那些看似没完没了的勒索软件事件后,可能会给企业带去无法估量的严重后果,比如面向客户的服务突然中断、生产率严重下降甚至生产中断、企业的收入严重缩水、企业声誉直线下降,更有可能需要面临支付巨额赎金、严重数据泄露导致的补救、甚至面临监管部门的巨额罚款罚款等补救成本了……诸如此类大型网络安全事件的发生,不仅会给企业造成损害,还可能导致企业的人员发生变化。从著名的美国零售巨头Target公司(塔吉特)被黑客入侵事件开始,到Home Depot、Sony、Equifax和Imperva黑客事件,这些网络安全事件受害企业的几位CEO已经被追究责任,并在发生大型网络安全事件后被迫辞职。
案例回溯:2013年Target网络安全事件造成巨大损失
2013年底,美国零售巨头Target公司遭遇了严重的网络安全攻击,他们被黑客攻击,涉及七千万用户的信息和四千万信用卡的数据丢失,面临可能达到十亿美元的损失。不仅仅如此,Target公司还需要向因此事件受害的个人用户支付最高一万美元的损害赔偿,并且需要加大对于网络安全和数据保护的设施投入,损失可见一斑。最后,Target公司解雇了当时的CEO,并重新任命了一名CISO(首席信息安全官)。
在很多人看来,企业发生重大的网络安全事故,当然应该由CISO承担责任。但事实上,有分析机构认为,未来二十年,有超过七成的网络攻击事件的后果都可能由CEO来承担责任。由此可见,网络安全事件,是有极大可能会损害在企业内负责大家安全的那部分人的利益,甚至可能破坏他们的职业生涯。
在网络与监管不发达的时代,网络安全事件在发生后特别容易被隐藏且不被大众知晓,但进入网络通讯发达的时代,这一切都发生了质变。
为了更加严厉地追朔和惩罚企业企图对大型网络安全事件进行掩盖的行为,美国先后颁布了医疗电子交换法案、通用数据保护条例、消费者隐私法案等追究和处罚企业相关行为的法案。Uber的前首席信息安全官就因为尝试遮掩16年发生的一次网络恶意攻击事件被指控妨碍司法公正(这位CISO企图与窃取超过五千位客户数据的攻击者私下和解,支付一部分“封口费”,不打算让监管机构知晓)。
最近几年,网络安全事件也发生了一些变化,黑客们不但会将数据加密,还会大张旗鼓的对外“宣传”,企图利用公众压力对受害企业造成舆论压力,从而促成自己的赎金要求可以得逞。受害的组织无法再保持沉默,否则自己的声誉将受到无法弥补的损失。在这个过程中,公众也会对企业的网络安全设施和手段提出越来越高的要求,希望组织对网络安全事故负责。最近有英国的调查公司发现,近四成的消费者认为CEO应该是网络安全事件的首要责任人。
奥地利FACC公司就曾因为网络安全事件解雇了当时的首席执行官Walter Stephan,这位CEO因为相信了一封mail中的诈骗信息,让FACC公司承受了超过三亿人民币的损失,这个类似于“假总裁事件”(以攻击企业E-MAIL,冒充CEO发布邮件进行诈骗为目的)的大型网络安全事件,让CEO因为“严重失职”而被解雇。
在2018年,新加坡的SingHealth集团也因为发生了大型网络安全事件,导致一百多位患者的信息被盗而被罚款,惩罚对象包括CEO在内的5位高管。网络安全现在已经被被认为是一项基本的业务运营要求,一旦发生,企业高管很有可能会因为背负领导责任而面临惩罚。
那么企业高管要如何做才能确保网络安全呢?可以按照以下七个步骤操作:
有责任的组织可以遵循明确定义的企业安全路径,限制安全破坏的风险和后果。步骤如下:
1、仔细评估企业的安全状况,对企业的安全机制有清晰的了解:例如企业的人员水平如何,是否参加过专业的信息安全培训(例如CIIPT、CISP、CISAW培训等),企业有哪些安全系统和防护程序,当发生网络安全事件时如何响应,怎么保证业务的连续性,企业采用了什么防火杀毒软件和系统,这些系统有漏洞吗,怎么弥补,多久更新一次等等,越详尽越好。
2、对企业的网络安全系统进行详细的风险评估,企业高管必须了解企业有可能面临的网络威胁及其性质。目前市面上有非常多的专业工具,也可以参考相关组织和机构的建议和反馈,定时监控,进行风险控制,将可能因为网络安全事件而导致的损失减至最低。
3、根据企业目前的网络安全情况评估优劣势,并以此制定安全计划。依据风险评估报告制定企业的安全计划,解决优劣势之间的差距,至少需要准备一个终端安全响应系统,准备应对方案,定期备份,并尽可能地保证业务地连续性。
4、为制定好地安全计划分配合适的人力物力和财力。在这种情况下,往往是需要对企业的结构做出一定改变的,并下定决心制定充分的预算,坚定执行的决心。
5、对安全计划进行周密且可持续进行的监督,并定期向管理层汇报。有了计划就需要按照计划执行,执行过程中发生了偏差也需要及时的纠正。安全主管需要定期监控企业的业务发展和运营是否会对安全计划造成影响,并及时做出变更。例如因为疫情的原因办公地点发生了变化该怎么办,是否需要对计划进行调整。
6、加入外部审核和验证的环节,验证安全计划执行情况的同时,还可以让企业内部的同事对安全计划的执行产生信任,加强安全计划的可行性。
7、验证安全计划的持续性,通常在执行完一个完成阶段的计划后,需要评估这个计划的效果,并作出是否继续执行的决定,例如计划执行阶段发生了重大的网络安全事件。
企业管理者在面对大型网络安全事件时应该怎么应对
当企业发生了重大网络安全事件后,最好先按照安全计划的预设处理,最好与股东、职员、客户和传播机构开诚布公地沟通,反应及时、真诚并且透明化地处理网络安全事件地企业,更容易得到大家的支持。
在2018年时,美国Quora公司因为恶意网络安全攻击,使得当时的一亿用户受到了影响。当时的CEO快速且透明地采取措施,发布了一篇文章,并用E-MAIL的形式通知了大家。随后Quora公司建立了一个针对此事的问答站点,即时更新事件情况,让大家都了解详情。
避免网络安全事件,建设网络安全系统,培养网络安全人才
在这个信息化高速发展的时代,企业建设网络安全系统,避免遭受网络攻击和网络威胁是一件刻不容缓的事情,毕竟只需要聘请一位网络安全管理员装装杀毒软件,建立防火墙,定期更新就万事大吉的时代早已过去。如今已经是大数据和云计算的世界,远程工作、大量数据的积累,各种IOT设备的应用,已经让企业的网络安全环境有了巨大的变化,加上“专业黑客”和黑客组织越来越多,企业的网络安全系统建设将更加重要。
在这种背景下,企业内的网络安全从业人员的素质也显得尤为重要,如何获得可靠的信息安全与网络运维相关知识和资质认证将是许多企业管理者需要考虑的问题,企业亟需加大对内部专业网络安全人员进行信息安全专业知识的培养。赛虎网安正是在这样的背景下应运而生,我们致力于培养专业的信息安全人员,并提供可靠的资质认证服务,欢迎有信息安全培训的企业和个人联系我们,业务范围包括但不限于CIIPT培训、CISAW培训、CISP培训、网络空间安全职业培训计划等,欢迎咨询在线顾问,或者拨打电话010-61771460。
- 还没有人评论,欢迎说说您的想法!