由于2017年夏天Equifax數據泄露事件導致近1.47億美國公民個人信息暴露，今年Equifax董事會成員的連任遭到強烈反對。投資者們對Equifax董事的高度不滿，反映出董事會成員對網絡安全沒有給予足夠重視所導致的嚴重后果。

那么具體來說，董事會成員應該如何更注重安全?在Black Hat 2018大會上，我們向6位CEO和技術領導者提出了這個問題，他們強烈建議董事會成員深入了解數據隱私、破壞模擬練習以及開放軟件源代碼。

以下是參加Black Hat 2018大會的行業(yè)領導者認為董事會需要更深入地探討的網絡安全戰(zhàn)略六大要素。

開源庫

Veracode公司研究副總裁Chris Eng認為，企業(yè)面臨著因開源庫可能導致信息泄露的風險。Eng說，近5、6年來看，這對安全專業(yè)人員完全是個盲點，而且開發(fā)人員仍然不太可能考慮這種做法，或者更新他們正在用來保存代碼片段的庫。

“軟件就像牛奶一樣會過期，而不是葡萄酒那樣時間越長越好。對軟件來說，時間越長安全性就越來越差。”

Eng表示，董事會成員很少直接詢問與借用或沿用下來的項目有關的安全風險，不過這個問題已經開始成為CISO感興趣的領域。

業(yè)界通常會考慮與其合作的廠商或者承包商所帶來的第三方風險，但Eng表示，此外還需要考慮用于運行企業(yè)應用的軟件和代碼來自何處。

數據隱私

根據Micro Focus安全和信息管理與治理產品組總經理John Delk的說法，在通過立法(如GDPR或者美國加州的隱私法規(guī))實施隱私要素之前，數據安全并不是董事會層面關注的主題。

隨著董事會開始討論如何存儲和傳輸個人身份信息及訪問數據的位置時，終究會有那么一天，董事成員們會就加密和生命周期管理進行更廣泛的討論。

Delk說，有越來越多的企業(yè)組織開始設置熟悉數據官這個職位，作為董事會的代理，圍繞建立隱私政策、了解如何實施控制、維持對潛在敏感數據生命周期的全面了解。

因此，IT部門或者組織內其他下游部門需要選擇正確的隱私工具，并將這些工具融合在一起，使其符合高管實施的管控框架。

泄露模擬演練

Xerox首席信息安全官Alissa Johnson表示，當數據泄露事件時，企業(yè)組織應該有一個單獨的管理鏈，以確保業(yè)務繼續(xù)像一臺運行良好的機器一樣。為了打造深入腦海的記憶和適當的場景，企業(yè)需要定期演練他們的數據泄露響應計劃。

隨著時間的推移，董事會會要求提供關于數據泄露模擬演練的更多信息，要求提供有關模擬所關注數據類型的信息，以確保企業(yè)為此做好了準備，不管最終哪些數據受到了影響。Johnson說，圍繞這種演練的指標很重要，每年練習一次也都算不上頻繁。

隨著董事會越來越多地關注數據泄露管理，首席信息安全官的任務就是要讓董事會了解最新的準備情況。Johnson表示，人們往往會評價那些成為數據泄露受害者的企業(yè)的響應情況，因此制定數據泄露響應計劃也是向外界表明企業(yè)是準備就緒的。

量化風險

根據Digital Guardian全球渠道副總裁Marcus Brown的說法，為了減少網絡安全風險，企業(yè)組織必須首先找到衡量風險的方法，然后制定控制措施和政策以降低風險。

因此，董事會已經開始建立自己的網絡安全風險委員會，以準確了解其組織內存在的風險，并確保正確的補救流程是到位的。然而，Brown表示，通常只有財富500強企業(yè)或者其他成熟企業(yè)才會設置網絡安全風險委員會。

Brown表示，董事會成員應該了解企業(yè)的數字資產在哪、誰可以訪問、這些資產最經常遷移的路徑是什么、可能使這些資產面臨風險的原因有哪些。鑒于大多數企業(yè)在他們的生態(tài)系統(tǒng)中既有個人客戶信息也有知識產權信息，所以Brown說董事會應該參與數據泄露計劃流程。

基準績效

BitSight總裁兼首席執(zhí)行官Tom Turner表示，董事會制定的網絡安全策略，通常由關注特定事件或服務故障所決定，特別是競爭對手經歷的大事件。

為了擺脫被動局面，Turner建議董事會成員要建立網絡安全和風險管理的績效基準，類似于在銷售、營銷和庫存等領域所建立的基準。

特別是董事會應該根據NIST(國家標準與技術研究院)等行業(yè)框架以及同行成員來衡量企業(yè)的治理和安全控制措施。他建議，董事會應該重點關注企業(yè)組織通過打補丁等措施保護面向外部的基礎設施的效率。

危及整體業(yè)務的風險

Cybereason聯(lián)合創(chuàng)始人兼首席執(zhí)行官Lior Div認為，那些將網絡安全視為IT問題的企業(yè)，傾向于認為可以通過IT相關手段來解決這一問題，例如制定備份政策或更頻繁地備份。

但鑒于黑客也在不斷發(fā)展并改變他們的行為方式，Div認為，網絡安全不是提出一個宏大的解決方案，而是要更多地了解企業(yè)愿意承擔的風險程度，以及如何對公司面臨的各種風險進行分類。

Div說，董事會應該確定他們可能面臨的最重大威脅的后果是什么，然后再回過頭來弄清楚每個風險因素如何得到緩解。

例如，針對醫(yī)院的勒索軟件攻擊，可能會導致醫(yī)院的計算機無法正常工作，Div稱這將是一場災難，因為這種攻擊實際上會讓各種設備設施無法運行，而中斷為患者的服務。