当国歌在二月初透露,黑客们攻破载有8000万客户和员工的个人信息的数据库,该消息打击有点太靠近家加里斯科尔滕,美国信安金融集团的执行副总裁兼首席信息官。他的第一道命令这一天是收集所有的信息他能安抚他的董事会,金融服务供应商没有类似的漏洞。
他联系了业界金融服务信息共享和分析中心要得到什么国歌公开呼吁一个“非常复杂的外部网络攻击”的确切性质的详细情报,并能保证他的董事会成员,主要的客户和员工数据是不是在从攻击对国歌推出的类型的风险。
比尔Nellans
加里斯科尔滕,美国信安金融集团的首席信息官表示,网络安全是顶级的脑海中的问题,为公司的董事会“因为我们提供的服务是如此的基于信誉的。”
国歌是全国最大的健康保险公司之一。由于其违反的大小时,行业所发生它收到了媒体的关注,斯科尔滕想要出人头地的问题,这主要董事可能会问。“网络安全对他们来说是一个巨大的优先级,因为我们提供的服务是如此的信誉为本,”斯科尔滕说。“这是顶级的头脑板的问题。”
[见“8个提示你的教育板”第4页]
斯科特·安杰洛,K&L盖茨的首席信息官,曾在迈阿密的律师事务所管理委员会的年会(一家私人公司的版板),当国歌消息的打击。“他们醒来时,他们想知道的第一件事就是国歌,”盖茨,谁是三年前聘请专门加强了公司的网络安全的立场说。“他们淹没了所有这些信息是在那里。”
国歌违约只是在发生在过去的几年里(你知道龃龉的那一连串事件网络安全的字符串的最新消息:目标,家得宝,索尼影业,摩根大通等等)。而公司的董事会都处于高度戒备状态。网络安全是“在记者的每一天,”企业董事协会(NACD)的总裁Peter格里森说。“这是最重要的问题上董事的头脑,因为现在它绑成组织的风险结构。”
网络安全监督是董事会在2015年的第二个最重要的话题 - 仅次于战略规划 - 根据律师事务所艾金·斯特劳斯豪尔和费尔德。“这不只是金融服务公司或监管公司 - 现在所有人都感兴趣,”金佰利柏瑞迪,合作伙伴和安全事件管理和响应团队律师事务所阿尔斯通和鸟的联合主席说。
在2014年,检测到4280万个的安全事件,比前一年增加了48%,根据普华永道会计师事务所。由于这些事故的经济损失的平均规模为$ 270万和报告的超过2000万$事件相关的损失的机构数目增加了92%,去年,普华永道的报告。但是,真正的成本可能永远不得而知。多达妥协受害者中有71%没有发现违反自己,根据2014年报告的网络安全公司Trustwave。
然而,董事会成员抱怨说,他们没有得到正确的信息。超过三分之一的人不满的,他们得到关于网络安全风险信息的质量,超过一半是不满意的提供的信息的数量,根据1,013上市公司一NACD调查。
还有的板多少与网络安全问题和IT安全配置文件的实力参与,根据商业风险咨询公司甫瀚研究呈正相关。这就是为什么像斯科尔滕和安杰洛CIO们都集中在与他们的董事会有效沟通。通过提供有意义的情报公司董事定期,精明的CIO和CISO们不仅要教育他们的董事会对他们应侧重于作为他们监管的安全相关举措的问题;他们还加纳为构建健壮的安全系统,并采取必要的保护企业数据的流程和政策高层的支持。
定义威胁
基思·特平加盟环球天气和航空作为CISO去年夏天修补安全计划。从历史上看,网络安全已经全部但受国际飞行计划和支持服务提供商的董事会忽略。“我的工作是进来,建立一个策略,采取向董事会和获得,将允许该计划是成功的支持,”图尔平说。
解释它的安全性,以非技术人员将是一个挑战。“我见过的人进入董事会会议与网络图”,图尔平说。“你很可能会成为他们展示一个麦田怪圈”。
所以特平转向他在物理安全的背景。他建立了一个小门,并与一些看似安全锁安装它。他要求董事会在房间里,如果他们认为门被保护。“他们看着我,好像我是疯了,”特平回忆说。但他向他们解释,因为他利用了每一个锁机制的严重漏洞,在不到一分钟,虽然门看上去很好的保护,这是脆弱的。网络安全,他说,关于有到位的权限控制,以保护公司的数据应的IT漏洞 - 其中有数以千计 - 被利用。然后,他提出了董事会风险评估预测和安全策略。“但是他们仍然记得的是,门的事情,”他说。
“你不能在那里去,告诉他们关于ISO 27000标准。这不是一个有效的消息,”图尔平说。“你要熬下来,为贵公司的核心业务风险:你可能对我们的收入流的最显著的影响?”一旦委员会了解基本面,它更容易更新他们的安全投资和地址问题的影响,因为他们出现时,他解释说。第一次会议后,董事会很快批准了特平提出的IT安全预算;首席运营官即使他需要更多的钱问。