網路風險暴露:董事會對資訊安全長提出的首要問題
這個主要針對資訊安全長所提供的積極溝通策略指導方針包含四個部分,而本文是這個系列的 第一部分。此一系列包含了如何闡釋關鍵資訊並透過行政語言來說明您的行動,讓您可以持續 將重心放在回應事件、活動和威脅等重要的工作,進而緩減對於企業造成的衝擊。
當您遭到入侵或發現自己很可能會遭到潛在的毀滅性攻擊時 (例如, Log4j 弱點的執行), 很可能會引發一連串的活動,使得所有與安全團隊有關的人都疲於奔命。若您擔任資訊安全長的職務,您就會知道除非您能完全評估、控制、 減緩威脅並最終將其移除,或者至少將威脅減輕到營運能恢復到「正常」狀態的程度,否則您將一直徹夜難眠。
但了解這些弱點或攻擊並將衝擊降到最低,並不是資訊安全長一個人的責任。團隊的其他主管也會因為掌握情況的 最新發展而獲益。
首先我們將討論如何做好準備來回答第一個問題:「我們的風險暴露是什麼,以及我們是否經歷任何衝擊?」
應思考的隱含問題:
- 是否有任何業務關鍵系統和數據受到影響,對於營運又會造成什麼衝擊?
- 我們做了哪些事來限制暴露,以及目前有哪些具體規劃?
- 我們的重要策略合作夥伴和第三方是否也受到影響?他們是否暴露在更大的風險之中?
量化網路風險暴露:我們討論的情況有多嚴重?
您的企業高層和董事會真正想知道的是,遭到入侵的可能性有多高,一旦發生時情況又會有多嚴重?風險暴露實際 上是依可能受衝擊的次數來計算,但董事會顯然不會想知道這些方程式如何運算。他們真正關心的是業務關鍵功能 會受到什麼樣的衝擊、如何保護重要數據、如何讓客戶滿意,最重要就是如何繼續產生收益。
在評估及報告您的風險時,您將需要分析現有的所有網路和系統,以確實了解您遭暴露的最大範圍。您也將需要查 看整個業務以找出可能會造成風險的任何第三方、合作夥伴或供應鏈要素。若要了解您的廠商和策略性合作夥伴做 了哪些事以限制他們的 (或您的) 暴露,您將需要進行持續性的追蹤,雖然這或許是令人厭煩的苦差事,但至少不 會因為某個軟體或整合讓您突然遭到攻擊而來不及防備。
詳細分析將協助您回應董事會對於哪些業務關鍵系統、數據和營運可能會受到衝擊的疑慮,以及其對於業務的意 義。它也可以協助您劃分層級並回答一些難以避免的後續問題,例如「在那些高風險的第三方中,哪一些已受到控 制,又有哪些最需要持續關注?」
此外,您將需要利用這個機會來提供以下相關見解:
- 您在遭到入侵時的因應計劃
- 如何「止血」來維持關鍵業務的運作
- 對於恢復營運有哪些計劃
討論範圍包括您對於限制暴露及 增加營運彈性 所完成以及正在進行中的工作,並將您的第三方業務生態系統納入, 使您可以維持日常營運的運作。
列出對於業務造成的衝擊:我們能接受的底線
在談到企業受到衝擊時,您的因應措施不能再只限於團隊的策略性回應。您必須進行全盤思考以涵蓋所有潛在的技 術及業務衝擊。例如,您需要針對下列各項進行評估及報告:
- 成本: 回應、復原、重建、替換或轉換任何受影響應用程式、系統或基礎結構的成本。其他的成本,例如將重心 從某些活動移轉出去時對於整個團隊和其他無形資產造成的劇烈變動。
- 策略意涵: 是否會對競爭優勢或市佔率/市場定位造成任何損失?
- 聲譽損失: 客戶滿意度或忠誠度是否會有任何改變?是否會影響投資者關係或合作夥伴生態系統?
- 法律和法規合規性問題: 是否會影響合規性義務或產生任何法律問題?例如,是否可能造成投資者/客戶的法律 訴訟?造成任何罰款?是否有任何受管制或機密數據遭暴露?是否已採取合理步驟來保護客戶數據,以及企業如 何展現對於規範的熟悉程度來保護這些數據?(聯邦貿易委員會最近已發佈通知,他們將運用法定權力來追蹤各 公司是否疏於採取合理步驟,造成客戶數據暴露在已知的重大弱點中。)
- 營運中斷: 服務或供應鏈是否受到衝擊?是否有任何策略計劃延遲,或因為這些活動而暴露在風險中?是否有任 何彈性措施能將對於未來的衝擊降到最低?
召開會議來回答這些問題將可協助您向董事會說明您目前的處理方式,以及如何規劃來解決問題以維持可接受的風 險層級。
接下來我們將進入這一系列的第二部分並探討如何回答「情況是否已獲得控制,以及我們是否處理得當?」。
請觀看這部影片以深入了解如何與您的董事會討論網路風險暴露及其他關鍵議題:
取得聯繫
若您需要 事件回應服務,請記得透過您的網路保險公司向 Unit 42 進行洽詢。
若您認為自己可能已遭到 Log4j 弱點或任何其他類型的重大攻擊,請 與 Unit 42 聯繫以洽詢相關團隊成員。Unit 42 事件回應團隊提供全年無休的服務。您也可以申請主動式評估來採取預防性的步驟。