一个明显而确定的答案,组织中的每个人,都应对也必须对组织的信息安全负责。如果企业时不时发生诸如信息泄露等挑战,那么从CEO到董事会再到业务员,甚至是刚来的实习生,都需要回顾自己的操作,加强提高信息安全培训,特别是针对异常敏感的财务信息泄漏。
所以,不妨我们由考虑回答一组关键提问开始,挖掘企业内部的信息是否足够安全。
董事会是否了解来自企业内外部网络攻击的潜在风险,是否了解企业与其供应商、客户和外部世界的数字连接程度?
企业面对网络攻击存在哪些漏洞,这些风险发生的几率有多大?
网络攻击可能对企业产生怎样的影响,包括收入损失、业务中断、危机管理、监管和恢复成本?
企业针对网络攻击拟定了怎样的响应方法?
如何处理诸如技术解决方案、业务中断影响、声誉管理及监管对策、还有减轻企业外部的连锁效应等问题?
企业拥有哪些管理网络安全风险和处理事件的能力与资源?
企业如何与监管机构、同行、执法机构、供应商、客户、交易机构和其他利益相关方合作并共享信息?
企业的网络安全准备工作多长时间接受一次审查和测试?何人执行测试?
谁负责基于事件的及定期进行的网络安全报告?
董事会应以怎样的频率开展网络安全问题讨论?
企业必须拥有强有力的网络治理方法,并应当使其成为整个企业风险管理流程的组成部分。毋庸置疑,网络安全风险会影响到整个企业。
企业可以采用的方法之一就是“追赶威胁”,但由于威胁处于不断变化当中,最终这一举动很可能会徒劳无功。
另一种正在崛起的新方法,则更多地采用了“回归基本”的信息管理概念,在此模式下,威胁基本上被视为一个黑盒子。因此,最重要的便是企业高层保持对威胁的可视性,即能够预见到威胁,并树立牢固的风险意识,同时继续确保稳定运用各种优秀实践,包括密码策略、设备库存管理、补丁状态报告、员工培训和严格的入职程序等。
网络安全会给企业带来财务风险,而财务数据处于遭受网络攻击的最前沿,因此网络安全不仅仅是IT问题,而是财务部门需要负责的一项工作。
会计师需要接受网络安全基本概念的培训,了解所涉及风险的多样性及复杂性:首先,要充分理解IT专家所述内容;其次,从而在风险防范效果与网络安全措施的巨大成本之间找到适当平衡点绝不能出现“一无所知”的状态。
某航空公司超过90%的预订都来自在线门户网站,因此对其首席财务官来说,网络安全无疑是企业面临的第一大风险。
就航空业而言,收入是至关重要的风险管理领域,与利润额和利润率的重要性不相上下。如果客户无法(或认为自己无法)使用具有较强安全感的网络,他们就会摒弃该平台,引发公司收入大幅下降。而数据泄露和信用卡信息丢失导致的后果,可能比阻断服务(DoS)攻击更为严重。
鉴于此种情况,这名首席财务官供职的航空公司花费了大量时间,与万事达卡公司和维萨公司进行讨论,确保自身符合后者的安全标准,并积极参与由国际航空运输协会(IATA)主办的各种讨论,确保协会了解自身开展的最新活动,并与协会其他成员分享对网络安全风险的认识。这远远超出了该公司利用自身资源所能实现的目标。国际航空运输协会还向该公司员工提供网络安全风险相关教育和培训。
在内部,公司借助一家咨询公司及相关监控软件(Darktrace)的支持,指定了一名IT团队成员专门负责网络安全问题。同时,跨部门报告模式确保了各部门分享相关问题,信息通信技术(ICT)团队则每周向部门负责人汇报网络安全相关情况。
网络安全是运营层面的IT问题,但相关问题会迅速上报至总负责人——首席财务官。随后这些问题再由首席财务官上报给财务和审计委员会,并进一步报送董事会。网络安全问题作为财务和审计月报的固定内容,由董事会持续审阅。
该航空公司平均每年遭受两次网络攻击。IT团队每次都能够成功隔离恶意软件并控制事态,不会给公司造成损失或增添额外成本。
数据泄露和停机可能会产生多米诺骨牌效应,扰乱工程运营和航班安排,迫使人们重新使用手动系统操作。如今,会计师们已经意识到了保护数据与处理数据的是同样重要的。
由于财务部门始终处于遭受网络攻击的最前沿,因此为保证IT职能满足其业务需要,财务部门已取得了IT职能的控制权。
此外,恢复与预防同样重要:财务部门需要同时确保:收入受到保护,并且系统修复不会影响其报告能力。