网络空间的声誉威胁

　　在互联网时代，企业风险管理需要具备许多新能力，比如网络应变能力。这是一种建立在扎实的准备工作和团队合作基础之上的能力。

　　被访者信息：史蒂夫·德宾

　　信息安全论坛（ISF）全球副总裁。主要关注重点领域包括新出现的安全威胁环境、网络安全、BYOD、云计算和社交媒体。此前，他是Gartner公司的高级副总裁。

　　如今，几乎每天都会出现一种新的网络安全威胁，或是由“恶意空间”（malspace，即黑客团伙、犯罪组织或间谍活动存在的线上环境）导致的重大数据泄露。随着黑客主义者和网络罪犯而来的，是急剧增加的传统信息安全风险。随着安全警报地不断升级，如何采取行动对抗网络空间运作带来商业风险，成为越来越多企业高级管理者的“首要日程安排”。

　　今天，越来越多的首席信息官，首席信息安全官（CISO）和其他信息从业者，必须向企业的最高管理者汇报，并解释在网络空间的日常活动，会给企业带来哪些风险。通过大张旗鼓地宣传有关违规、财务损失和更加严格的法律法规，世界各地的企业都已经把目光对准了信息安全。因此，企业的各方利益相关者都应当得到保证，所有的敏感信息都是安全的。

　　“恶意空间”和真实世界

　　CIOI：首先，能不能给大家解释一下，什么是“恶意空间”？

　　Malspace，也就是我们说的“恶意空间”，是互联网上一个正在急速发展的市场。黑客以及网络罪犯因为各种目的，包括赚钱、获得注意，甚至造成社会混乱，通过网络渠道攻击企业和政府。对于一部分人来说，在“恶意空间”做生意，意味着匿名带来的低风险。

　　相比真实世界而言，网络空间是一个更好的藏匿之所。因为在这里，用于监视IT软件、人员和系统等等方面的工具更加多样，也更加不易被察觉。此外，还有一个非常棘手的问题，在于不同司法管辖区的不同法律规定，使得起诉网络犯罪成了非常困难的事情。

　　此外，由于潜在的回报越来越丰厚，网络犯罪的频率也越来越高，周期越来越短。全球网络犯罪正在越来越多地呈现组织性，以及手段上的专业性。他们具有与合法企业一样的创新性和战略性，而从财政能力上说，更是不断发展，越来越符合网络经济的节奏。

　　随着前所未有的合作机遇的到来，一个“恶意空间”的生态系统已经发展、形成。这里包括了，从交易购买专业知识和工具，到执行网络攻击的所有环节。全世界任何一个黑客集团、犯罪组织和间谍机构，现在都利用强大的工具和专业知识，访问、识别、定位和攻击他们的目标。

　　CIOI：您刚才提到的这所有这一切，都值得企业和政府部门重视，具备网络预警能力，也是绝对必要的。但如何才能最好的保证企业和政府的信息安全？

　　目前，企业在网络安全和风险管理方面的实践，主要侧重于通过对已知风险的管理和控制实现，但网络预警能力要求所有规模的企业现在就做好应对未来危机的准备。为了应对和缓解网络空间活动的负面影响，企业必须扩展风险管理的范围，包括网络预警。

　　从供应链管理到客户参与，越来越多的企业，正在把系统向云端迁移。因此，如果系统被破坏，在网络空间进行的运营工作将受到前所未有的影响。劝说政府部门和企业建立相应的适应能力势在必行，网络预警机制将带来这样一种两全的结果，在保证开放、安全的电子商务和通信的同时，保护组织和个人免受恶意威胁的攻击。

　　但遗憾的是，在网络空间开展业务所伴随的风险，往往让两全变成两难全。为了实现网络预警，企业在进行风险管理时，应该主要包括保密性、完整性和信息可用性的管理。与此同时，灵活的企业一定要从一些在线行为中，比如商业行为、声誉维护或者财务风险，预测到常规业务的意外后果是真实存在的，并不断增长。

　　现在是全员集合时间

　　CIOI：人们对网络威胁有这样一个很普遍的认识——这是技术管理者或者信息管理者的工作，与其他部门，比如业务部门员工的工作内容没有太大关系。今天的情况还是这样吗？

　　网络威胁的话题不再仅限于信息安全领域。不仅是企业内的所有部门都会受到网络威胁的影响，包括外部客户、供应商、投资者及其他利益相关者在内的整体，都是网络威胁攻击的目标。企业的高级主管，特别是执行官或运营官，都应该首当其冲协调各个部门和整个商业链条上的每个环节，帮助企业为不可预测的事件做好准备。

　　企业必须拥有敏捷的反应力，才能保证对突发事件保持警觉，并能及时和有效应对网络攻击的后果。企业应该建立一个发生-反应小组，由来自各部门的员工组成。这样一个小组的主要工作，就是在在整个企业中开发和测试一整套预警方案和善后方案。这支队伍应负责培训与企业相关的所有部分，包括员工、公司股东和相应的监管机构。

　　在未来十年，网络安全威胁的复杂性将继续显著增加。而对于企业来说，准备时间会越来越短，而可见的后果将会很快到来。正如我前面提到的，网络空间的风险管理必须超越信息安全的单一领域，要将包括企业在线声誉，员工设备和第三方供应商等等的风险方面考虑进来。

　　CIOI：那么企业在准备应对这些日益复杂的威胁时，应该考虑哪些方面的问题？

　　首先是内部威胁。在技术发展给企业带来新利益的同时，它们也在使企业暴露在更多潜在的风险之中。特别是在企业没有充分评估其安全性问题之前，发生的购买或实施行为。必要时，需要采取一些措施，让你能够更加清晰地意识到内部威胁的严重性。企业应该对供应链环节中产生的业务影响和风险进行定期审查。员工政策、BYOD项目，以及密码的登录过程，都是应该加强监管和定期审查的部分。企业的的安全团队应该在一开始，就参加对新供应商安全性的审查工作。

　　其次是外部威胁。网络犯罪、国家资助的间谍、黑客行动组织和在现实世界中，对基础设施系统的持续性攻击......这个名单的增长速度，远远超过你的IT资源能够跟上的速度。只要企业能够很好地遵循相关部门统一制定的舆情识别控制措施，就能及时做到对相关威胁的监控、检测，并对问题进行实时修复。与值得信赖的执法机构，以及商业合作伙伴合作和分享攻击信息，将有助于企业从外部威胁降低风险。

　　最后，管理者还应该考虑到监管威胁的因素。合规性要求、法规要求、数据隐私，以及来自更大的私人和公共部门的合作压力，面对这些问题，企业最好做好信息安全管理，也最好做好报告管理的准备。此外，事件响应程序要到位，并进行测试。提高企业的安全保证水平，以达到商业伙伴的要求。

　　捍卫公司在网络空间中的声誉

　　CIOI：您刚才提到，企业的风险管理必须超越传统的信息安全领域，将包括对企业声誉进行的网络攻击作为风险来处理。为什么？

　　理解安全威胁对企业风险管理来说是至关重要的。其中，在我与世界各地的网络安全负责人和董事会成员谈话中，经常听到的关键事情是，企业风险状况的演变越来越迅速，许多企业都已经无法跟上威胁发展的速度。攻击者们已经变得更加有组织性，攻击行为也越来越复杂，对于一个企业来说，所有的威胁更加危险，带来更多风险的，是对企业声誉的恶劣影响。

　　企业所面临的安全威胁渐渐形成气候，这其中一个原因，是IT技术正在以不可左右的速度迅猛发展。而我们每天创建和生成的数据，也在继续呈指数级增长。与此同时，在任何时间、任何地点，从任何设备上访问这些数据的需求也同样越来越多。BYOD的环境整合是复杂的，需要信息管理者谨慎考虑。在工作场所中迁移到面向消费者的技术正在发生改变，而变化的方式是迫使企业不得不思考，要如何处理企业数据，如何将员工的私人数据，和企业数据进行混合并管理。

　　今天，对于大多数人来说，在他们洗澡之前，或是在在清晨来一杯咖啡或茶之前，他们真正做的第一件事是检查自己的手机或平板电脑。虽然许多人都是检查他们的工作电子邮箱，但同时他们也在浏览自己的Facebook网页、Twitter的转发和评论或是YouTube上的视频。网络威胁和网络攻击的真正影响，在于通过这种方式将病毒植入设备中，是传统安全管理难以控制的。黑客们显然很明白这一点，他们的目的就是利用这一点实现攻击，特别是在他们有私心，或者有组织性的情况下。

　　网络空间对于当代生活的重要性不言而喻，因此一味采纳回避或切断在线连接的做法是不现实的。企业应该采取措施，好好利用技术和网络空间的发展趋势。很明显，听上去这在商业活动中是行得通的，但真要做到这一点，信息管理者必须首先使企业具备超越目前信息安全管控结构的手段和理念。这里就包括了对信誉和技术的所有攻击方式的处理方法。记住，新型网络攻击的影响不仅仅在于技术方面，更是对企业声誉的威胁。

　　CIOI：在您看来，网络安全和预警机制的形成，是企业中哪个层级的管理者应该关注和思考的问题？

　　在许多企业中，网络带来的机遇和风险是董事会正在考虑的问题。所以，网络安全主管需要不但对董事会进行说服工作，让他们意识到，信息战略与信息风险应该与其他企业发展相关的战略一样，被董事会重视。在处理风险与回报的平衡问题上，网络安全主管必须推动整个企业的跨部门参与。而要做到这一点，需要管理者改变的表达和沟通方式，使其在决策领导者之中产生共鸣，并能与企业的业务目标相互支持。

　　所有具备成功潜质的企业，很可能都已经任命了网络安全董事或者首席数字官（CDO），以监督企业在网络空间中的所有商业活动。它们应该还在董事会中任命了相应的人员，以保证如果CDO在董事会中没有席位，也有人能提醒董事会，为了保证企业资产安全和股东的利益，他们在企业网络运营过程中要明确的职责，以及建立保护企业的网络预警机制的重要性。此外，还有特别重要一个问题，就是要不断关注相关法律的产生和变化。

　　毫无疑问，董事会需要专业人员的讲解，来明确网络预警机制的商业价值和意义。为了有效的沟通，需要物色合适层级的合适人选，以便能够用商业语言，在企业中进行网络安全要求的沟通，并推动网络预警机制的建立，甚至完成整个企业文化的转变。今天，我们都在网络环境中工作，董事会和网络安全负责人需要正视挑战。

　　CIOI：您对还没有建立网络预警机制的企业还有什么建议？

　　网络威胁的形式、速度和复杂性都在每天不断变化。经常能够看到被抛在后面的企业，有时这些企业在声誉和经济受到暴风雨袭击般的损失之后，才会做出反应。今天，企业需要通过采用现实的、广泛的合作方式，确保已有充分准备，应对不断出现的网络挑战。企业的高级管理人员和信息安全专业人员，必须了解网络威胁的性质，并能及时做出适当的反应。

　　各种规模的企业都必须将自己武装好，以应对信誉和品牌价值的攻击。反应速度越快，就越有可能尽早知道他们被攻击的原因，以及需要增强的部分，也更有能力和说服力，在企业内部和整个供应链中明确立场，使网络威胁对正常商业活动的影响降到最低。同时，这也意味着，企业需要明确内部协作的途径，必须建立一套完整的使用社交媒体反馈机制，以及企业内补对于数据的理解。

　　对企业的安全和业务部门来说，这是个重要的机会，让全体员工理解，他们正在面临一个非常关键、非常现实的问题，就是如何在网络环境中保护企业声誉。我们已经很欣喜地看到今年，有些企业已经在网络安全方面采取行动，并取得一定成效。非常希望所有企业都能够行动起来。

　　王婉卿

关注读览天下微信， 100万篇深度好文， 等你来看……