Black Hat 2018：6位高管谈企业网络安全战略

由于2017年夏天Equifax数据泄露事件导致近1.47亿美国公民个人信息暴露，今年Equifax董事会成员的连任遭到强烈反对。投资者们对Equifax董事的高度不满，反映出董事会成员对网络安全没有给予足够重视所导致的严重后果。

那么具体来说，董事会成员应该如何更注重安全？在Black Hat 2018大会上，我们向6位CEO和技术领导者提出了这个问题，他们强烈建议董事会成员深入了解数据隐私、破坏模拟练习以及开放软件源代码。

以下是参加Black Hat 2018大会的行业领导者认为董事会需要更深入地探讨的网络安全战略六大要素。

开源库

Veracode公司研究副总裁Chris Eng认为，企业面临着因开源库可能导致信息泄露的风险。Eng说，近5、6年来看，这对安全专业人员完全是个盲点，而且开发人员仍然不太可能考虑这种做法，或者更新他们正在用来保存代码片段的库。

“软件就像牛奶一样会过期，而不是葡萄酒那样时间越长越好。对软件来说，时间越长安全性就越来越差。”

Eng表示，董事会成员很少直接询问与借用或沿用下来的项目有关的安全风险，不过这个问题已经开始成为CISO感兴趣的领域。

业界通常会考虑与其合作的厂商或者承包商所带来的第三方风险，但Eng表示，此外还需要考虑用于运行企业应用的软件和代码来自何处。

数据隐私

根据Micro Focus安全和信息管理与治理产品组总经理John Delk的说法，在通过立法（如GDPR或者美国加州的隐私法规）实施隐私要素之前，数据安全并不是董事会层面关注的主题。

随着董事会开始讨论如何存储和传输个人身份信息及访问数据的位置时，终究会有那么一天，董事成员们会就加密和生命周期管理进行更广泛的讨论。

Delk说，有越来越多的企业组织开始设置熟悉数据官这个职位，作为董事会的代理，围绕建立隐私政策、了解如何实施控制、维持对潜在敏感数据生命周期的全面了解。

因此，IT部门或者组织内其他下游部门需要选择正确的隐私工具，并将这些工具融合在一起，使其符合高管实施的管控框架。

泄露模拟演练

Xerox首席信息安全官Alissa Johnson表示，当数据泄露事件时，企业组织应该有一个单独的管理链，以确保业务继续像一台运行良好的机器一样。为了打造深入脑海的记忆和适当的场景，企业需要定期演练他们的数据泄露响应计划。

随着时间的推移，董事会会要求提供关于数据泄露模拟演练的更多信息，要求提供有关模拟所关注数据类型的信息，以确保企业为此做好了准备，不管最终哪些数据受到了影响。Johnson说，围绕这种演练的指标很重要，每年练习一次也都算不上频繁。

随着董事会越来越多地关注数据泄露管理，首席信息安全官的任务就是要让董事会了解最新的准备情况。Johnson表示，人们往往会评价那些成为数据泄露受害者的企业的响应情况，因此制定数据泄露响应计划也是向外界表明企业是准备就绪的。

量化风险

根据Digital Guardian全球渠道副总裁Marcus Brown的说法，为了减少网络安全风险，企业组织必须首先找到衡量风险的方法，然后制定控制措施和政策以降低风险。

因此，董事会已经开始建立自己的网络安全风险委员会，以准确了解其组织内存在的风险，并确保正确的补救流程是到位的。然而，Brown表示，通常只有财富500强企业或者其他成熟企业才会设置网络安全风险委员会。

Brown表示，董事会成员应该了解企业的数字资产在哪、谁可以访问、这些资产最经常迁移的路径是什么、可能使这些资产面临风险的原因有哪些。鉴于大多数企业在他们的生态系统中既有个人客户信息也有知识产权信息，所以Brown说董事会应该参与数据泄露计划流程。

基准绩效

BitSight总裁兼首席执行官Tom Turner表示，董事会制定的网络安全策略，通常由关注特定事件或服务故障所决定，特别是竞争对手经历的大事件。

为了摆脱被动局面，Turner建议董事会成员要建立网络安全和风险管理的绩效基准，类似于在销售、营销和库存等领域所建立的基准。

特别是董事会应该根据NIST（国家标准与技术研究院）等行业框架以及同行成员来衡量企业的治理和安全控制措施。他建议，董事会应该重点关注企业组织通过打补丁等措施保护面向外部的基础设施的效率。

危及整体业务的风险

Cybereason联合创始人兼首席执行官Lior Div认为，那些将网络安全视为IT问题的企业，倾向于认为可以通过IT相关手段来解决这一问题，例如制定备份政策或更频繁地备份。

但鉴于黑客也在不断发展并改变他们的行为方式，Div认为，网络安全不是提出一个宏大的解决方案，而是要更多地了解企业愿意承担的风险程度，以及如何对公司面临的各种风险进行分类。

Div说，董事会应该确定他们可能面临的最重大威胁的后果是什么，然后再回过头来弄清楚每个风险因素如何得到缓解。

例如，针对医院的勒索软件攻击，可能会导致医院的计算机无法正常工作，Div称这将是一场灾难，因为这种攻击实际上会让各种设备设施无法运行，而中断为患者的服务。