{ Banner Image }

是负责网络安全的董事会?

公司内部的责任是网络ecurity?关键决策是否会落到它,或者应该更高的管理层在日常网络安全风险管理中更加重大涉及?鉴于今天的公司面临的大型罚款和合规义务,它’对于大多数数据隐私和安全性而言,这可能是显而易见的,这不仅仅是一种技术问题。

然而,全国企业董事协会的一项研究发现,虽然90%的受访者报告说,其董事会定期讨论网络安全,只有14%的受访者认为其董事会对相关风险有深入的了解。仅仅讨论网络安全是不足以保护贵公司。

除了一家公司’S IT部门,管理层及其董事会应参与公司’■网络安全计划和过程。虽然董事会成员可能没有专门的IT知识,但董事会可以并应该努力了解这些问题,并在数据隐私和安全方面做出决策。以下是董事会可以开始解决缺陷的三个步骤。

1 – Assess

首先,董事会应决定公司面临的风险。这些问题是内部,外部或第三方风险吗? IT相关的安全问题只是本次讨论的开始,因为公司应该考虑法律合规和第三方供应商。许多公司通过进行数据库存和映射练习来识别公司持有的信息,如何转移到谁以及向谁进行数据。这些问题也与内部政策和第三方合同协调,以检测风险。

2 – Address

其次,董事会必须决定如何解决每种风险。对于确定的每种风险,董事会将尝试避免,接受,减轻或转移风险吗?可以通过确定发生事件的可能性,其潜在影响以及如何创造风险来实现这一决定。

  • 避免: 应通过最大限度地减少或消除风险创造行动,避免衡量造成重大损害的风险,造成显着损害或由低价值行动产生的导致。
  • 缓解: 如果风险不太可能,较少潜在的破坏性或源于必要的或高价值活动,该公司可以选择通过政策,程序,IT解决方案,保险或其他策略减轻。一些缓解策略可能涉及内部行动,而其他人可能涉及将风险转移到第三方,以及保险和一些IT解决方案。
  • 接受:如果减轻费用高于潜在的财务影响,或者风险尤其不太可能实现,公司可以选择接受这种风险。

一旦董事会决定如何解决其风险,就应该执行适当的行动,必要时授权。适当的行动可能包括购买保险,制定监测计划,或外包某些公司任务。

最近,许多董事会决定通过重新设计公司的管理结构来分配对这些问题的额外监督。 例如,作为管理团队的一部分,将首席信息安全官员(CISO)添加了一项趋势。开发CISO位置允许公司拥有致力于数据隐私和安全性的管理功能,包括网络安全。通常,这些个人在该领域拥有经验,并愿意使用更改数据安全性的环境来学习和适应。一个CISO可能或可能不会坐在董事会中作为与网络威胁和董事会相关的日常运营之间的联系’S总决策过程。

其他公司可能会在技术部门和高层管理层之间发展直接沟通。这种通信流可以采取许多形式,但管理层越来越重要的是,管理创造了围绕网络安全的知识文化,并展示了对努力的承诺。

此外,每家公司都应有一个专注于当前网络安全威胁和最佳实践的员工培训计划。例如,有一些红旗可以培训员工可以用电子邮件或附件发现,这些电子邮件或附件可以保存公司面临损坏的网络攻击。在制定计划后并最初培训您的员工,更新计划并继续培训很重要。

3 – Audit

公司应定期审核,监控和修改其网络安全和数据隐私相关计划和程序,以保持计划当前并找到漏洞。一旦发现这些漏洞,公司可以在攻击发生之前进行有效的计划来解决它们。简而言之,这一领域的风险,合规要求和最佳实践对于公司来说正在太快地发展’s plan to be static.

积极主动比反应更好。如果您对目前的网络安全保护计划或如何为贵公司开发培训计划,请联系我们的培训计划 福斯特迅速的律师。

类别: 网络安全, 数字资产

泰勒帮助企业和企业主解决,防止福斯特斯威夫特的业务和税务惯例集团的问题。他处理业务形成和交易,税收争议,员工福利和技术相关问题。

查看作者的所有帖子›

Type the following characters: mike, romeo, tango, hotel, five, papa

* 表示必填字段。