根据一项新的黑色和Veatch调查,网络安全使其成为今年美国电力公用事业五大问题的清单。不到三分之一的受访者表示,他们的装备能够处理攻击。

这不仅仅是担心的能源公司。数百种基于美国的公司的董事会正在意识到他们对越来越多的网络袭击威胁也没有准备。

长期以来,主要是只是一个“技术”问题,网络安全正在迅速上升公司会议室中的关键业务和治理问题的列表。这有意义于,鉴于过去几年面临严重违规的公司名单。

网络安全是企业风险的问题。想一想:如果你的研究结果被盗了怎么办?您的供应链受到损害?您对日常行为的能力关闭?您对营业谈判的策略遭到损害?

董事会必须制定专业知识,以带来充分的治理,以监督公司的网络基础设施。董事会需要在数字基础设施的固有风险中添加熟悉的成员,并可以从知识和经验的位置互动。网络安全不能被视为“勾选框”。弄错,公司可能会失业。

那么董事会和C-Suite需要做什么?开始开发网络健康检查。

以下是要考虑的四种策略。

1.制定危机网络计划。公司将被违反,他们需要知道他们在“坏人”妥协时如何回应。董事会必须在适当的行动计划中 - 可执行文件在一瞬间的通知。在审查业务流程以支持商业企业举措时,与实现IT基础设施相关的风险必须是讨论的重要组成部分。什么可能出错?怎么会出错?如果我们受到损害(当时)的影响是什么?当我们违反时,我们可以做些什么来降低潜在的伤害?网络安全必须成为所有业务活动的筛选过程的一部分。在预期攻击时,该公司应制定一个距离识别潜在攻击者的计划,并使他们成功攻击(将成本提高到攻击者),同时促进遏制和快速补救措施。

2.确定“企业风险”的所有权。主要高管(首席执行官,总法律顾问,首席财务官,首席财务官(CIO)和首席信息安全官员(CISO))必须涉及识别网络风险和制定并实施管理成功后果的有效策略违反。我们是否进入了首席风险官员的时代?必须具有多学科视角,可以提供有关跨职能网络风险问题的各种信息的信息,包括识别与集成系统相关的间隙中固有的漏洞。今天经常审计委员会为网络分配负责。这是一个合理的开始,但该战略必须来自宽阔的董事会理解,审查和监督。网络是“100% - 一直”。它不能留给审计师。

3.审查公司的网络安全保险。不幸的是,大多数组织都没有保险,那些有覆盖的人被保险金。网络安全的复杂性和充分限制成本和后果的有限能力,确保与成功违规相关的风险无法完全保险。在此同样的情况下,保险可以提供资源,以减轻违规行为时的一些风险。在寻找保险时,您应该预测保险公司需要某种形式的“网络健康检查”。

4.了解标准和规定。今天,呼吁更多的报告,披露和网络安全准备和成功违规的透明度越来越响亮。取决于挑战;不要等它成为危机。以下是一些可能有帮助的资源:

这些指导方针具有20个优先安全控件的列表,该控件被认为是由一群公共和私人安全专家打击网络攻击者的有效。

企业的网络安全姿势至关重要,可以在今天天才和盈利。今天的网络安全可能很好地代表了对企业的可行性的最大的外部(有时内部)威胁。董事会有责任确保其公司取决于挑战。

Bob Ackerman Jr.是Allegis Capital的创始人和董事总经理,该公司是一个硅谷风险资本公司的早期硅谷风险资本公司,这些公司在庞大的网络安全方面投资。