我們采訪了網(wǎng)絡(luò)安全和合規(guī)咨詢公司 Servadus 的首席執(zhí)行官兼創(chuàng)始人羅恩·托斯托 (Ron Tosto),就這一話題詢問了他的一些見解。
阻礙公司考慮開展危機(jī)管理的常見問題有哪些?
最常見的障礙是缺乏來自企業(yè)高管層的支持。如果高管層看不到進(jìn)行危機(jī)管理的理由,那么危機(jī)管理就不是公司的首要工作。這種情況與危機(jī)準(zhǔn)備工作相關(guān),從而就形成了公司的文化。
對于企業(yè)來說,工作日程安排也是一個非常常見的挑戰(zhàn)。執(zhí)行危機(jī)管理措施需要企業(yè)最大程度的參與。
最后,危機(jī)管理準(zhǔn)備工作會對財務(wù)產(chǎn)生影響。那些資金比較緊張的企業(yè)可能不會拿錢為危機(jī)事件做準(zhǔn)備。
在涉及到危機(jī)管理計劃和實(shí)施計劃時,最關(guān)鍵的要素/人/團(tuán)隊是什么?
在事件響應(yīng)計劃中,每個角色對于應(yīng)對事件成功與否都至關(guān)重要。但最重要的角色是網(wǎng)絡(luò)運(yùn)營中心或安全運(yùn)營中心,其職責(zé)是發(fā)現(xiàn)攻擊事件,然后向企業(yè)發(fā)出警報。
如果某人有機(jī)會發(fā)現(xiàn)某一事件,但事實(shí)上卻沒有發(fā)現(xiàn),則其他人就不會做出應(yīng)對。在勒索事件過程中,更多的團(tuán)隊成員要參與,而且要知道相互支持。每個最終用戶都有可能發(fā)現(xiàn)可疑行為,然后進(jìn)行報告。保障公司安全作為企業(yè)文化的一部分,團(tuán)隊成員必須了解攻擊事件的跡象,而且得到鼓勵去啟動響應(yīng)計劃的第一步。
危機(jī)管理計劃是否可以完全外包給外部專家?
危機(jī)管理工作的組成要素可以包括外部專家;法律顧問、公關(guān)公司和司法調(diào)查員都是可以雇傭的人員。
就危機(jī)管理而言,首席執(zhí)行官可以雇傭危機(jī)管理顧問,但公司的領(lǐng)導(dǎo)者永遠(yuǎn)不應(yīng)忽視的一個事實(shí)是,公司雇主在危機(jī)期間所做的決定是與結(jié)果息息相關(guān)的。
事件響應(yīng)和業(yè)務(wù)連續(xù)性計劃應(yīng)多久修改一次,以及應(yīng)該多久執(zhí)行一次?
對于領(lǐng)導(dǎo)層及其運(yùn)營模式?jīng)]有發(fā)生重大變化的企業(yè)而言,應(yīng)每年對事件響應(yīng)計劃進(jìn)行一次審查和測試。
企業(yè)收購后合并運(yùn)營、遷移到云環(huán)境以及調(diào)整 VPN 基礎(chǔ)設(shè)施以支持遠(yuǎn)程辦公人員,這些都是修改業(yè)務(wù)連續(xù)性計劃的好時機(jī)。
每當(dāng)制定出一個新的業(yè)務(wù)連續(xù)性計劃時,都需要進(jìn)行事件響應(yīng)演習(xí)。如果在事件響應(yīng)計劃中擔(dān)任主要角色的人員發(fā)生變動,則至少應(yīng)對計劃進(jìn)行最低程度的測試。對所有新員工,包括技術(shù)人員和領(lǐng)導(dǎo)人員,必須進(jìn)行實(shí)際演習(xí)意識培訓(xùn)。
為網(wǎng)絡(luò)安全危機(jī)制定計劃很重要,但首先是實(shí)施降低風(fēng)險的策略,這也很重要。哪些重要的事情需要記住?
如何為勒索軟件攻擊做準(zhǔn)備是一個常被問及的問題。在我看來,最好的做法是檢查您的安全控制清單,以防止黑客控制您的網(wǎng)絡(luò)。
Servadus 等公司可提供“勒索軟件準(zhǔn)備情況評估服務(wù)”,幫助企業(yè)領(lǐng)導(dǎo)層發(fā)現(xiàn)自身當(dāng)前所面臨的風(fēng)險。當(dāng)然,制定最新的事件響應(yīng)和業(yè)務(wù)連續(xù)性計劃也是該評估服務(wù)的一部分內(nèi)容。在企業(yè)外部,真正的價值在于修復(fù)了網(wǎng)絡(luò)安全控制措施的薄弱環(huán)節(jié)。
此外,企業(yè)可實(shí)施一個框架,以有助于實(shí)施安全控制措施和具有可持續(xù)性。許多企業(yè)努力保持合規(guī)性和維護(hù)其安全控制措施,但在檢查其各渠道的安全措施已部署到位后的 3-6 個月,他們?nèi)院苋菀资艿焦簟?/div>
長期戰(zhàn)略涉及到真正具備可持續(xù)性的安全控制措施。該服務(wù)框架還使企業(yè)可以評估自身所面臨的威脅和所使用的系統(tǒng)軟件存在的漏洞。這是網(wǎng)絡(luò)風(fēng)險的基本公式:威脅 + 漏洞 = 風(fēng)險。除了制定網(wǎng)絡(luò)安全框架戰(zhàn)略之外,企業(yè)還必須能夠了解一些漏洞和威脅。
如果企業(yè)領(lǐng)導(dǎo)者認(rèn)為其中任何一個要素都過于昂貴的話,則他們通常會認(rèn)為保險公司可以為此進(jìn)行補(bǔ)償。但企業(yè)領(lǐng)導(dǎo)者們應(yīng)該看看他們保險單上的細(xì)則;事實(shí)是,即使您已購買了網(wǎng)絡(luò)安全保險,如果您沒有為網(wǎng)絡(luò)攻擊做好準(zhǔn)備工作,則保險公司通常也不會賠償因網(wǎng)絡(luò)攻擊而造成的損失。
一些公司為了想證明自己放棄對網(wǎng)絡(luò)攻擊事件進(jìn)行準(zhǔn)備這一做法的合理性,他們會說網(wǎng)絡(luò)攻擊所造成的損失通常低于開展防護(hù)和準(zhǔn)備工作所付出的成本?,F(xiàn)實(shí)情況是,大型企業(yè)現(xiàn)在需要支付的贖金高達(dá)數(shù)百萬美元;因勒索軟件攻擊而需支付 400 萬美元的事件已發(fā)生過多次。即使一家企業(yè)為維持業(yè)務(wù)運(yùn)營而花費(fèi) 100 萬美元做應(yīng)對攻擊的準(zhǔn)備工作,但它仍然比支付給網(wǎng)絡(luò)攻擊者的費(fèi)用少 300 萬美元。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。