网络安全不是一个技术问题。这是一个管理问题,需要一种新的风险管理方法。
想象一下,坐着划艇顺流而下。水渗入,你看不到水线以下——或者,正如塞伯雷语中所说的,攻击面。在河上时,你把水舀出来,回到岸上后,你修补最明显的洞。第二天,你购买了一种新产品,确保船底绝对防水。现在,你满怀信心地解决了昨天的问题,再次划着划艇出海。这一次,你翻过瀑布,把船撞坏了。
在网络安全领域,问题不在于今天会出现什么问题,而在于如果明天会发生什么问题。这就是为什么公司需要成为智能驱动的组织。在划艇这个简单的例子中,研究河流的路径可能会导致你改变划艇的路线,或者,知道你必须穿越瀑布,你可能会减轻负载或加强划艇。收集情报是在不断变化的网络威胁环境中变得积极主动的唯一可行方法。
这不再是一家公司是否会受到攻击的问题,而是一个何时以及该公司将如何应对的问题。如今,许多IT组织无法可视化和管理公司整个网络基础设施的攻击面。据研究公司称加特纳,发现违规前的平均延迟时间是令人震惊的205天。公司不仅需要证明他们已经控制并减少了攻击空间,还需要制定数据泄露响应计划,并有能力管理重大事件。
成本效益法是一种可管理的风险缓解方法。当连环银行抢劫犯威利·萨顿被问到为什么他觉得有必要抢劫金融机构时,他回答说:“钱就在那里。”网络罪犯也是如此。这意味着一家公司必须决定哪些资产最有价值,然后相应地支出以保护它们。在资产管理业务中,客户机密信息可能是最关键的保护信息,应在网络安全预算中占有不成比例的份额。
有效的网络安全风险管理的关键是评估、测量、监控和控制风险的能力。公司现在关注违规行为,这实际上只是评估方面。他们需要扩大关注范围,制定新的措施,如网络风险容忍度和关键绩效指标等创新监测技术,并实施更好的网络相关控制,并将其纳入更新的政策和程序中。
公司还需要将网络安全纳入其战略决策。在世界上物联网,几乎没有比信任更重要的竞争优势,而卓越的网络安全将成为一个显著的因素。
雇佣一名具有强大技术和政府监管背景的个人来管理网络安全不再是可以接受的。董事会和首席执行官有责任确保网络安全不是需要解决的技术问题,而是需要管理的持续风险。
大卫·X·马丁是该组织的特别顾问金融稳定中心,纽约一家专注于金融市场的非营利智库.
多了解贸易和技术.