{ Banner Image }

董事会对网络安全负责吗?

公司内部谁负责网络安全?关键决策应该落在IT上,还是应该在日常网络安全风险管理中更多地参与更高的管理?鉴于当今公司面临的巨额罚款和合规义务,’对于大多数人来说可能很明显,数据隐私和安全不仅仅是技术问题。

但是,美国全国公司董事协会的一项研究发现,尽管90%的受访者表示其董事会定期讨论网络安全问题,但只有14%的受访者认为其董事会对相关风险有深入的了解。仅讨论网络安全不足以保护您的公司。

除了公司’公司的IT部门,管理层及其董事会应参与其中’的网络安全计划和流程。尽管董事会成员可能没有专门的IT知识,但董事会可以而且应该努力了解问题,并在数据隐私和安全性方面更有能力做出决策。董事会可以采取以下三个步骤来开始解决缺陷。

1 – Assess

首先,董事会应决定公司面临的风险。这些问题是内部,外部还是第三方风险?与IT相关的安全性问题只是讨论的开始,因为公司应考虑法律合规性和第三方供应商。许多公司通过执行数据清单和映射练习来确定公司所持有的信息,信息的传输方式以及向谁传递信息,从而采取了更为细化的方法。还应与内部政策和第三方合同一起考虑这些问题,以发现风险。

2 – Address

其次,董事会必须决定如何应对每种风险。对于确定的每种风险,董事会是否会尝试避免,接受,减轻或转移风险?可以通过确定事件发生的可能性,事件的潜在影响以及产生风险的活动的价值来做出决定。

  • 避免: 应通过最大程度地减少或消除风险创造措施来避免特别可能发生的风险,造成重大损失或低价值行为所导致的风险。
  • 减轻: 如果风险的可能性较小,潜在损害程度较小,或者源于必要或高价值的活动,则公司可以选择通过政策,程序,IT解决方案,保险或其他策略来减轻风险。一些缓解策略可能涉及内部行动,而另一些则可能涉及将风险转移给第三方,例如保险和某些IT解决方案。
  • 接受:如果减轻的成本高于潜在的财务影响,或者特别不可能发生该风险,则公司可以选择接受该风险。

董事会一旦决定如何应对风险,就应采取适当的行动,并在必要时委派代表。适当的措施可能包括购买保险,制定监控计划或将某些公司任务外包。

最近,许多董事会已决定通过重新设计公司的管理结构来对这些问题进行额外的监督。 例如,有一种趋势是将首席信息安全官(CISO)作为管理团队的一部分。培养CISO职位可使公司拥有专门用于数据隐私和安全(包括网络安全)的管理功能。通常,这些人在该领域具有经验,并愿意学习和适应不断变化的数据安全环境。 CISO可能会担任董事会成员,也可能不会担任董事会成员,这是与网络威胁相关的日常运营与董事会之间的联系’的总体决策过程。

其他公司可能会在技术部门和高层管理人员之间建立直接的沟通渠道。这种通信流可以采用多种形式,但是,管理人员必须建立一种围绕网络安全的意识文化并展现其对这一努力的承诺,这一点变得越来越重要。

此外,每个公司都应该有一个针对当前网络安全威胁和最佳实践的员工培训计划。例如,有一些危险信号可以训练员工发现带有电子邮件或附件的内容,从而可以使公司免于遭受破坏性的网络攻击。在制定计划并初步培训您的员工之后,更新计划并继续进行培训非常重要。

3 – Audit

公司应定期审核,监视和修订其与网络安全和数据隐私相关的计划和程序,以使程序保持最新状态并查找漏洞。一旦发现这些漏洞,公司就可以制定有效的计划以在攻击发生之前解决它们。简而言之,这方面的风险,合规要求和最佳实践对公司而言发展太快’s plan to be static.

主动要比被动好。如果您对当前的网络安全保护计划或如何为公司制定培训计划有疑问,请联系我们的其中一位 福斯特·斯威夫特(Foster Swift)的律师。

分类: 网络安全, 数字资产

作为福斯特·斯威夫特(Foster Swift)的业务和税务业务团队的成员,泰勒(Taylor)帮助企业和企业主解决和预防问题。他处理业务组建和交易,税务争议,员工福利以及与技术相关的问题。

查看作者的所有帖子›

Type the following characters: six, papa, six, tango, five

* 表示必填字段。