網(wǎng)絡(luò)安全是個(gè)商業(yè)問(wèn)題，不僅僅是個(gè)技術(shù)問(wèn)題。董事會(huì)對(duì)利益相關(guān)者和投資人負(fù)有信托責(zé)任，應(yīng)從上至下主導(dǎo)整個(gè)公司的網(wǎng)絡(luò)安全監(jiān)管與領(lǐng)導(dǎo)工作，主動(dòng)監(jiān)督保護(hù)敏感數(shù)據(jù)與客戶信息所用的方式方法。

[[245295]]

作為安全過(guò)程的一部分，董事會(huì)需了解威脅態(tài)勢(shì)和高價(jià)值目標(biāo)。在考慮公司哪些信息對(duì)網(wǎng)絡(luò)罪犯而言具有價(jià)值時(shí)，董事們往往會(huì)關(guān)注數(shù)據(jù)和商業(yè)敏感信息，而忘了他們自身就是高價(jià)值目標(biāo)。

惡意黑客倒是會(huì)對(duì)公司高級(jí)主管多下功夫，因?yàn)樗麄冋莆盏臋?quán)力和信息比普通員工多。很多企業(yè)中，董事會(huì)成員不被當(dāng)成員工看待，不用參與員工培訓(xùn)，且往往還能使用自己那沒(méi)安裝企業(yè)防御與監(jiān)控措施的設(shè)備。這幾個(gè)風(fēng)險(xiǎn)因素再加上董事會(huì)成員對(duì)公司秘密信息的訪問(wèn)權(quán)限， 就讓董事們成為了網(wǎng)絡(luò)攻擊浪潮中一葉風(fēng)雨飄搖的小舟。

作為有影響力的領(lǐng)導(dǎo)，董事會(huì)成員在設(shè)立公司安全文化上舉足輕重，也有義務(wù)不僅僅了解公司緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的措施，還要確保自身也在實(shí)踐這些安全行為。

網(wǎng)絡(luò)責(zé)任上升

網(wǎng)絡(luò)安全不僅是個(gè)技術(shù)問(wèn)題，也是人的問(wèn)題：想想你有多容易點(diǎn)擊惡意鏈接或打開(kāi)惡意附件?澳大利亞信息專員辦公室(OAIC)最近公布了數(shù)據(jù)泄露季報(bào)，揭示36%的數(shù)據(jù)泄露是人為失誤導(dǎo)致的。

作為高層領(lǐng)導(dǎo)，董事會(huì)需減小公司面臨的風(fēng)險(xiǎn)并對(duì)企業(yè)風(fēng)險(xiǎn)加以監(jiān)管。對(duì)董事而言，緩解網(wǎng)絡(luò)風(fēng)險(xiǎn)最簡(jiǎn)單的方法，就是問(wèn)問(wèn)題和高標(biāo)準(zhǔn)要求自身。董事應(yīng)確保自身采取了恰當(dāng)?shù)姆椒ūＷo(hù)自己的商業(yè)賬戶及個(gè)人賬戶，并請(qǐng)教安全人員，了解怎樣才能更好地保護(hù)自己和公司數(shù)據(jù)。作為領(lǐng)導(dǎo)，董事可能需對(duì)災(zāi)難性網(wǎng)絡(luò)攻擊事件負(fù)責(zé)。

不在位期間是遭攻擊高峰期

網(wǎng)絡(luò)攻擊隨時(shí)隨地都會(huì)發(fā)生，但對(duì)董事會(huì)成員而言，他們不在公司的時(shí)間段是威脅風(fēng)險(xiǎn)最高的時(shí)候。董事們經(jīng)常在家辦公，在出差途中辦公，而且會(huì)混用個(gè)人和公司的設(shè)備與賬戶。這些不安全的網(wǎng)絡(luò)達(dá)不到公司環(huán)境的那種安全程度，人走出公司辦公樓后的行為也會(huì)發(fā)生改變。

出差或旅行時(shí)，大多數(shù)人都會(huì)欣然連接機(jī)場(chǎng)、酒店或咖啡館的公共WiFi。董事們有太多機(jī)會(huì)在不安全網(wǎng)絡(luò)上下載敏感文件或查看機(jī)密電子郵件了。這一簡(jiǎn)單而極其常見(jiàn)的行為很有可能將公司暴露在巨大風(fēng)險(xiǎn)面前。很多攻擊者密切關(guān)注董事會(huì)成員的出行日程表，目的明確地侵入酒店WiFi以盜取敏感材料。

CrowdStrike的《全球威脅報(bào)告》發(fā)現(xiàn)，民族國(guó)家黑客對(duì)酒店行業(yè)特別關(guān)注，或?yàn)樽粉櫬眯兄械哪繕?biāo)人物，或?yàn)樵跐撛谑芎φ呙撾x安全網(wǎng)絡(luò)時(shí)侵入其電子設(shè)備。通過(guò)盯緊酒店，他們知道自己的預(yù)定目標(biāo)對(duì)攻擊毫不設(shè)防的確切時(shí)間和地點(diǎn)。

教育與意識(shí)

幫公司應(yīng)對(duì)網(wǎng)絡(luò)攻擊并不需要董事們自己成為網(wǎng)絡(luò)安全專家，但保護(hù)自身安全卻需要了解威脅并保持警惕。

最重要的是，董事會(huì)必須更主動(dòng)地承擔(dān)起網(wǎng)絡(luò)安全責(zé)任。以下幾條建議可供參考：

1. 定下基調(diào)

董事會(huì)需指導(dǎo)如何劃定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)優(yōu)先級(jí)。安全提升往往伴隨著效率的降低或其他業(yè)務(wù)目標(biāo)上的權(quán)衡取舍，董事級(jí)指導(dǎo)的缺失常會(huì)造成安全重心的偏移而增加業(yè)務(wù)風(fēng)險(xiǎn)。

2. 要求知悉和問(wèn)問(wèn)題

理想狀態(tài)下，每次董事會(huì)會(huì)議或董事會(huì)分管委員會(huì)會(huì)議上都應(yīng)討論網(wǎng)絡(luò)安全問(wèn)題。簡(jiǎn)報(bào)不應(yīng)浮于表面，而應(yīng)深入公司安全態(tài)勢(shì)的細(xì)節(jié)。

3. 第三方評(píng)估

董事會(huì)需客觀了解公司的網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露面。與聘用獨(dú)立審計(jì)師評(píng)估財(cái)務(wù)操作類似，主流公司企業(yè)會(huì)引入熟悉所屬行業(yè)當(dāng)前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的第三方來(lái)評(píng)估其風(fēng)險(xiǎn)態(tài)勢(shì)。

僅憑安全教育無(wú)法阻止惡意黑客對(duì)公司實(shí)施網(wǎng)絡(luò)攻擊，但它能避免愚蠢或疏忽行為。多加提點(diǎn)高層領(lǐng)導(dǎo)被黑客特別關(guān)照的原因和方式，可以增加檢測(cè)并阻止攻擊的概率，防患于未然。

學(xué)習(xí)如何應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和理解自身網(wǎng)絡(luò)安全風(fēng)險(xiǎn)責(zé)任是非常重要的，必須從最高層加以戰(zhàn)略性解決。網(wǎng)絡(luò)安全管理不再是推給IT部門就能解決的事。網(wǎng)絡(luò)安全人人有責(zé)，董事們也不例外。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文