如果要求公司董事会成员和高级管理人员列出他们的首要风险(金融运营除外),那么在当今的风险环境中,答案很明确:网络安全和数据隐私。这种风险的迅速上升反映在勒索软件、网络攻击和数据泄露的每周头条新闻中。 在 NAVEX 最近的合规状况调查中,三分之一的受访者表示他们的公司在过去三年中至少经历过一次攻击/数据泄露。
经历过网络攻击的公司将永远改变。董事会和高级管理团队很快就找到了宗教信仰。但我们真的感到惊讶吗?当 FCPA 执法力度加大时,陷入困境的公司很快就找到了信仰。尽管 CCO 试图让公司了解主动风险缓解策略的重要性,但董事会和高级管理人员仍然坚持被动的方法。
在网络安全和数据保护方面,董事会成员和高级管理人员有一个陡峭的学习曲线——必须了解风险、技术和风险缓解策略。首席信息安全官认识到让每个人都了解信息技术和安全并建立企业风险管理系统的重要性。
在规划这条新道路时,首席信息安全官和首席合规官正在以新的方式走到一起。CCO 是优秀的合作伙伴 – CCO 拥有整个组织的视野,熟悉风险评估原则,实施政策和程序,并且可以提供重要的培训和教育计划。
员工了解工作场所网络安全和数据隐私的重要性。员工希望避免网络事件,并从新闻和自己的经历中了解黑客的危险。为了减轻网络和数据的内部威胁,员工需要接受有关黑客技术和最新风险的教育。总体而言,员工必须实施一套密码保护、避免网络钓鱼和其他诈骗、虚假供应商计划和适当的信息安全卫生的最佳实践。
CISO 可以利用 CCO 的治理、风险管理以及培训和审计原则方面的知识。在许多公司中,CISO 充当二级治理职能,部分原因是董事会成员和高级管理人员不知道如何执行该领域的企业治理策略。
公司董事会在这一领域正在不断发展。一些董事会正在向其董事会添加网络专家,如果采用 SEC 的网络安全规则,每个董事会都将被要求增加此类专业知识并披露董事会的网络能力和经验。
重要的是要记住,至少 50% 的网络或数据泄露是内部行为者造成的——无论是故意还是疏忽。心怀不满的员工可能会通过规避数据安全控制来窃取商业机密或数据,甚至造成严重破坏,从而造成严重破坏。在某些情况下,员工可能会因为未能识别情况并采取基本的预防措施而成为网络钓鱼电子邮件的受害者。
就网络风险是由内部员工行为造成的而言,CCO 是制定减轻此类风险的策略和监控员工行为的天然专家。事实上,CCO 可能已经制定了各种程序,这些程序可以扩展到包括基本的网络风险。CISO 和 CCO 应该寻找此类机会。
首先,CCO 知道如何设计控制措施,并可以与 CISO 合作,确保员工无法规避内部信息访问控制措施。此外,CCO 能够与相同的团队和安全人员合作,确保敏感数据处理和存储操作(如果在现场而不是在云端)的物理安全得到适当保护,并且访问受到密切监控和保护。
其次,CCO 擅长设计和实施培训计划。CCO 与 CISO 团队合作,可以确保对员工进行有关网络安全问题的适当培训,进行实时培训以确保员工识别并正确避免陷入网络钓鱼计划,评估培训计划目标并改进任何培训计划。
第三,三分之一的网络和数据事件是由第三方引起的。CCO 和 CISO 已开始合作,将网络风险纳入整个第三方风险管理计划的一部分。
最后,CCO 知道如何进行风险评估、设计控制措施以减轻风险、衡量控制措施的绩效以及对计划进行测试和审计。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...