為什么高管應該站在網絡安全防御的第一線

當前，每個企業都意識到了日益嚴重的網絡攻擊風險，然而，很少有公司真正對重要信息采取了足夠的保護。這里的關鍵就是，企業的高層領導需要擔當起網絡安全防護的領導角色。最近麥肯錫的專家Tucker Bailey,James Kaplan,和Chris Rezek發表了一篇關于企業高管在網絡安全中的角色的文章，編譯如下。

為什么在重要信息資產的保護方面企業往往做得不夠?企業的高管們明白盡管全球每年花在網絡安全上的投資超過百億美元，目前對網絡攻擊的防護依然不夠。他們也知道網絡攻擊風險帶來的對于數字經濟的可信度及信心打擊所帶來的損失在2000年已經超過30億美元。他們也了解絕大多數企業采取的以合規為目的的網絡安全模式對于網絡安全的保護并不夠。他們也很清楚企業需要對風險進行深入分析，對于重要資產制定專門的防護措施，把在整個IT環境中部署安全措施。分析評估面臨的安全威脅，提高事故反應機制等等。

網絡安全的重要性我們每個人都清楚，那么企業高管會問，既然大家都理解，那么為什么很多企業都不能做到很好的網絡安全防護呢?答案很簡單，理解一個問題和有效地解決這個問題有很大的不同。對于企業來說，要想建立一個有效的，以業務為導向，以風險管理為中心的網絡安全管理機制，需要面臨一系列的組織結構和管理方面的問題。而只有來自企業高層的持續有力的支持，才能有最終達成有效的網絡安全管理機制從而降低網絡安全風險。

網絡安全管理的一些組織結構的障礙

對于大型企業來說，阻礙一個正確的網絡安全管理的實施有一系列的障礙。

首先，市場競爭的環境逼迫企業高管必須承受一定程度的網絡攻擊風險。某個投資銀行的首席信息安全官就曾經說過：“如果我真的按照我希望的那樣對與我們合作的對沖基金進行安全評估的話，我們可能就不會有任何合作機會了。”因此，為了保證企業的競爭力，企業必須在風險和客戶期望之間取得平衡。

其次，網絡安全影響的深度和廣度也阻礙了安全管理戰略的實施。網絡安全不僅僅影響到運營，也影響到客戶管理，營銷，產品開發，采購，人事管理，公關等方方面面。比如說，產品開發常常會影響到敏感客戶數據的獲取。采購決策可能會導致供應商對于企業知識產權的泄露等等。

第三，網絡安全的風險很難量化，這使得很難就網絡安全的緊急程度在企業高管之間進行溝通。而促使他們進行決定。某個大型企業的CFO就曾經告訴我們：“看起來我們每年在網絡安全方面的支出都在增加，但是我不知不明白這些支出是否足夠，或者多少支出才算足夠。”

最后，改變用戶行為非常的困難。對于很多企業來說，最大的安全漏洞往往不是在企業本身，而是企業的客戶。你如何能夠防止客戶點擊錯誤的鏈接從而導致感染惡意軟件?你如何能夠阻止他們像釣魚網站提供敏感信息?對企業第一線員工進行安全意識的培養已經很困難了，更何況是那些根本不受你控制的客戶。

網絡安全：高管必須親自領導

網絡安全是一個CEO層面的問題。網絡攻擊的風險影響到企業的各個部門，影響到企業的供應鏈以及企業的客戶。因此，對于網絡安全方面的決策必須來自CEO和其他企業高管團隊。

最為我們與世界經濟論壇共同就網絡安全進行的研究的一部分，我們有機會對超過200家企業(其中60家為財富500強企業)的高管進行了訪談，與他們深入探討了網絡安全風險管理方面的具體實踐。我們發現，對于成熟的網絡安全風險管理來說，高管的時間與精力的投入是成功與否的關鍵因素。此外，我們的研究還發現，高管對于網絡安全的參與程度有很大的不同。有的公司，首席信息安全官每幾周就會與CEO開會。而有的公司，首席信息安全官與CEO基本沒有接觸，首席信息安全官首先報告給CTO，CTO報告給CIO，CIO再報告給CFO。

那么，企業高管需要怎么做呢?通過分析那些網絡安全做的比較好的公司的做法，我們總結了一下幾點：

◆積極參與到戰略決策中去：

就像對待企業經營中的其他風險一樣，CEO以及其他高管團隊成員必須對企業整體的信息安全風險承受程度提出要求，比如對于知識產品的泄露，客戶敏感信息的盜取，企業運營的中斷等等。接下來，各部門的領導以及他們的管理團隊需要與網絡安全團隊一起合作，列出重要的信息資產以及確定在安全風險與企業運營的平衡點。

◆充分考慮跨部門的網絡安全影響

高管們需要管理中層經理們以確保在產品，客戶，人力管理，供應鏈管理等環節考慮到網絡安全的影響。此外還需要考慮對網絡安全的重要性排序可能會帶來的公關方面的影響。

◆推動使用行為的改變

由于高管接觸的敏感數據更多。他們需要自身做出更多的基于網絡安全考慮的行為改變，進而影響其他下級員工。這可以從簡單的做起，比如不轉發可疑附件，不把公司文件轉發到私人郵箱等等。此外，高管應該采取合適的方式對一線員工進行宣傳，使他們意識到他們應該如何保護重要的企業信息資產。

◆保證有效的治理結構和報告機制

無論公司的網絡安全制度和安全控制如何完善，總會有些人會想辦法繞過它。企業高管們顯然需要確保規章制度和安全控制從業務角度的合理性。然后就是支持安全管理團隊嚴格執行這些規章制度。此外，企業高管應該確保對企業在網絡安全方面的具體推進程度建立一個完善的報告機制。

數字化越來越普及，技術環境越來越開放和互聯，以及攻擊者的水平越來越高。網絡安全已經日益成為重要的社會和經濟問題。如果不加以重視，它將會大大拖累企業的技術和商業的創新。這也就是為什么企業必須在網絡安全方面迅速加強的原因。而要做到這一點，必須得到企業高管的直接關注與支持，才能跨越一系列結構上和管理上的障礙。我們已經了解到，在一些企業里，這樣的推動已經在開始。但是，這樣的推動還應該在一個更廣的范圍內，才能使得企業在保證網絡安全的同時，依然保持原有的創新和發展水平。