糟糕的网络安全实践可能会使整个组织处于危险之中, 勒索软件的兴起使这一点更加明显. 在勒索软件之前, 澳门赌场官方下载可能遭受了客户数据泄露,导致负面宣传, 监管机构罚款, 受影响客户身份监控的诉讼和成本. 但是勒索软件, the repercussions go beyond these issues; it has the potential to completely shut down operations for an enterprise. 勒索软件改变了游戏规则.
结果是, 董事会, 或者是非公开交易澳门赌场官方下载的所有者, 高级管理人员更应该在网络安全和网络风险的监督和管理中发挥积极作用. 在美国,变化到 美国联邦贸易委员会(FTC)保障措施 要求金融机构指定一名合格的个人来实施和执行其网络安全计划. 合资格的个人须向理事机构提供年度书面报告, 比如董事会或所有者, 关于该计划的有效性和任何重大差距. 在美国也是如此 美国证券交易委员会(SEC) 是否建议要求上市澳门赌场官方下载在其股东年度报告中添加有关网络安全的信息,并列出其董事会成员的网络安全资格.
网络威胁的现实(e.g., 勒索软件(或关键知识产权的损失)和监管变化应该会让董事会明白这一点, 业主和管理层认为有必要更好地管理网络安全. 澳门赌场官方下载风险管理(ERM)是管理层和董事会可以用来帮助管理整个澳门赌场官方下载风险的工具, 包括cyberrisk. 特德威委员会(COSO) ERM框架和国际标准化组织(ISO) 31000是ERM的两个主要框架. 这两个框架都强调有效的ERM, 一个组织需要高级管理层的监督, 组织结构以支持ERM和合格的员工. These and other capabilities that are needed to support ERM are also necessary to support cybersecurity and manage cyberrisk; therefore, 这两个框架的内容都易于适用于网络安全.
组织可以从世界各地的许多例子中了解到澳门赌场官方下载网络安全管理无效的后果,包括 2021年勒索软件攻击爱尔兰卫生服务管理局(HSE). HSE等例子指出了组织对网络安全的需求,比如有董事会监督, 配备必要的管理职位(例如.g.(首席信息安全官[CISO]),并雇佣足够的员工. 基于经验, 许多组织仍然持有限的观点,认为网络安全主要是一个技术问题.
但过去的攻击表明,没有必要的管理结构和管理支持,就无法实现有效的网络安全技术支持. 这是, 如果一个组织的领导层忽视了网络安全, 要拥有高效的人才是非常困难的, 要支持的过程或技术.
编者按: 想要进一步了解这个话题,请阅读作者最近在《澳门赌场官方下载》上发表的文章, “将网络安全风险作为澳门赌场官方下载风险来管理” ISACA杂志,第5卷2022.
ISACA杂志 今年满50岁! 与我们一起庆祝,不要忘记,您仍然可以通过访问您的 MyISACA仪表板 选择加入!
