企业的管理人员应该了解网络诈骗导致的财务风险可能会波及整个企业内部的经济架构,网络诈骗不仅是会影响IT部门,还会殃及其他的业务部门和企业运营,比如人力资源,法律和公共关系部门等。
美国国家标准协会和网络安全联盟联合发布了一份网络安全指南,向用户提供保障信息安全的建议,帮助企业的高层管理人员为可能遭受的网络攻击做好经济准备。
从基本概念上理解,这份指南主要要告诉大家,对IT安全威胁没有足够经验的首席财务官和企业其他高层管理人员来说,当他们的系统遭受攻击时,企业就会因为没有充分准备而导致难以估算的损失。
据美国国家标准协会和网络安全联盟介绍,这份长达40页的安全指南收集了来自超过40家企业风险管理经理人的实战案例,这些企业包括卡内基.梅隆大学,IBM,保险业巨头美国国际集团(AIG),州立农业保险,洛克希德马丁公司和咨询公司Booz Allen Hamilton和KPMG。文件中罗列了首席财务官和企业管理者必问的50个问题。
AIG保险集团产品研发总裁Ty Sagalow表示,报告中设计的问题中包含的信息能为面临安全威胁的企业提供更加全面的认知,帮助他们减少忽视或低估这些网络威胁而产生的费用。
Sagalow认为在这份报告的体验过程中,参与者最快获得的经验就是"一些企业传统的观点认为网络安全只是一个IT问题,但事实上网络安全并不只是一个IT问题,也不是一个单纯的法律或者公共关系问题"。
一些IT管理者已经逐渐意识到安全问题已经牵扯到更多的部门,Sagalow和其他参与报告的人员认为这不是个一概而论的问题。Direct Computer Resources公司的软件架构师兼信息技术标准国际委员会IT安全实践董事长爱德华.斯特鲁表示,许多IT部门已经意识到他们只是网络安全领域解决方案的一个组成部分而已。
根据Sagalow的说法,这是首个提供给首席财务官参考的研究成果,因为首席财务官是最终能为解决网络攻击提供财务支持的管理者,只有首席财务官更好的了解了网络威胁给企业带来的风险,才能采取更有效的经济手段。
但是找到适合的解决方案更多是取决于网络攻击所带来的风险的量化数据。多年来,企业一直在使用各种不同的模型和测算工具来尽可能的把握他们的安全控制是否有效,他们用来预防网络攻击的预算该是多少这些问题。
目前多数使用的方法是给安全经理提供新的安全工具来更好的预测和判断执行IT和处理控制的成本。在过去采取的其他措施是开发风险预测模型,比如说保险公司就可以在保险业网络保险协议中采用风险预测模型。
这份由美国国家标准协会和网络安全联盟推出的安全指南推荐首席财务官们要询问技术团队这样的问题:数据保密性,完整性和可用性面临的最大威胁是什么,如何采取适当的控制来预防这些网络威胁。
指南中还指出:同样的道理首席财务官还应该询问业务经理涉及业务持续性和可复原性的相关安全问题,还应该询问内部法规负责人关于他们的企业必须遵守的行业保密信息或者政府相关规定,内部的数据收集,维护,销毁的信息以及公司违反规定而导致的赔偿等问题。
另外指南中还说明,首席财务官还应该询问企业的法律顾问关于企业可能会面临的股东诉讼和由于数据丢失招致的其他法律行为。他们还需要了解有关企业数据使用政策的法律监管信息。指南中还建议,风险管理和公共关系团队还应该询问风险通信计划和延误或者违反操作流程通知等相关行为的现实情况。
Sagalow表示,这种信息的分析能帮助首席财务官将网络威胁风险与财务预算紧密联系在一起。他强调说企业有各种工具和方法论来测算与洪水,火灾,风暴和员工背叛这类事件相关的经济风险,但是他们却缺乏能评估安全威胁所带来的风险的完整框架。Sagalow还补充说这种框架是至关重要的,因为与网络攻击相关的费用成本正在呈节节攀升之势。
网络标准联盟总裁拉里.克林顿表示发行这份指南的目标就是为首席财务官提供一个更好测算网络攻击潜在风险的工具。这些信息能帮助来自首席信息官和首席信息安全官的网络安全控制数据能及时得到首席财务官的关注。
克林顿认为"企业是根据他们的财务状况来做出决策的。除非我们正确了解了与网络攻击有关的经济影响和风险,否则我们根本就无法正确的加以管理"。
根据克林顿的说法,让首席财务官更多的介入安全事宜对于IT部门来说不是坏事,目前很多预防网络安全的措施都面临资金不足的难题,首席财务官更多的重视就能带来更充足的资金投入和对IT需求更充分的关注。
