企業(yè)遭遇網(wǎng)絡(luò)安全方面的訴訟如今屢見不鮮。Capital One公司由于網(wǎng)絡(luò)安全訴訟最終賠付1.9億美元。Ultimate
Kronos集團(tuán)由于涉嫌對勒索軟件攻擊的疏忽而被發(fā)起集體訴訟，因此，很多企業(yè)將糟糕的網(wǎng)絡(luò)安全系統(tǒng)確定為根本問題。

這兩條新聞強(qiáng)調(diào)了企業(yè)在對抗網(wǎng)絡(luò)威脅的持續(xù)戰(zhàn)爭中所面臨的風(fēng)險。遭到破壞的企業(yè)繼續(xù)面臨直接和明顯的影響：停機(jī)、數(shù)據(jù)丟失、收入損失、聲譽(yù)受損和監(jiān)管罰款?，F(xiàn)在的風(fēng)險和損失越來越大，越來越多的網(wǎng)絡(luò)安全事件經(jīng)常引發(fā)消費(fèi)者、投資者和其他受影響方的集體訴訟，他們聲稱，企業(yè)和董事會本身應(yīng)該更加努力地保護(hù)敏感信息。

當(dāng)然，很多家公司近年來都采取了一些措施來改善網(wǎng)絡(luò)安全實(shí)踐。Target、Equifax、Marriott和其他知名公司的數(shù)據(jù)泄露行為提高了人們的安全意識，并迫使IT決策者加強(qiáng)網(wǎng)絡(luò)安全的政策和措施。

但是數(shù)據(jù)泄露事件不斷發(fā)生，法律訴訟也是如此。問題是，許多企業(yè)仍未將網(wǎng)絡(luò)安全提升到真正的優(yōu)先級。雖然這更多地發(fā)生在中小企業(yè)，但對于一些大型企業(yè)來說仍然是一個問題。大多數(shù)仍然依靠IT經(jīng)理來制定和執(zhí)行安全策略。許多企業(yè)領(lǐng)導(dǎo)者在網(wǎng)絡(luò)安全戰(zhàn)略中的參與度仍然不夠，或者沒有將網(wǎng)絡(luò)威脅作為企業(yè)董事會議程上的優(yōu)先項(xiàng)目。

以下是企業(yè)領(lǐng)導(dǎo)層優(yōu)先考慮網(wǎng)絡(luò)安全的四個基本步驟：

1. 加強(qiáng)企業(yè)董事會的網(wǎng)絡(luò)安全技能

企業(yè)董事會必須在網(wǎng)絡(luò)安全準(zhǔn)備中發(fā)揮積極作用。首先必須確保他們能夠勝任這項(xiàng)任務(wù)。

這不僅僅是讓成員與IT和業(yè)務(wù)領(lǐng)導(dǎo)就員工進(jìn)行補(bǔ)救性討論。董事會成員需要自我教育以應(yīng)對持續(xù)的網(wǎng)絡(luò)安全挑戰(zhàn)。

企業(yè)董事會可以從評估其成員的網(wǎng)絡(luò)技能水平開始，并聘請一名或多名具有網(wǎng)絡(luò)安全專業(yè)知識的董事會成員。這些網(wǎng)絡(luò)專家可以領(lǐng)導(dǎo)企業(yè)的小組委員會，并更直接地與業(yè)務(wù)和IT領(lǐng)導(dǎo)者就網(wǎng)絡(luò)安全戰(zhàn)略進(jìn)行溝通和交流。

此外，企業(yè)董事會應(yīng)每年或每半年接受一次培訓(xùn)，以了解不斷發(fā)展的網(wǎng)絡(luò)安全形勢。精通網(wǎng)絡(luò)安全問題的董事會可以更好地解決風(fēng)險、責(zé)任和技術(shù)問題，從而為他們必須做出的戰(zhàn)略決策提供信息。

2. 創(chuàng)建自由流動的信息交流

一旦企業(yè)董事會跟上進(jìn)度，管理層就有責(zé)任開發(fā)一種機(jī)制，促進(jìn)關(guān)于網(wǎng)絡(luò)風(fēng)險和戰(zhàn)略的一致溝通。管理人員應(yīng)留出時間就與網(wǎng)絡(luò)安全風(fēng)險相關(guān)的計(jì)劃、程序和持續(xù)問題進(jìn)行密切互動。

重要的是，該機(jī)制應(yīng)包括來自各個部門的利益相關(guān)者，從業(yè)務(wù)部門到IT部門，從法律人員到人力資源和營銷部門，每個人都應(yīng)參與其中。雖然網(wǎng)絡(luò)安全技術(shù)仍將由IT控制，但戰(zhàn)略和實(shí)施貫穿所有部門，并一直延伸到企業(yè)董事會。

互動應(yīng)該成為企業(yè)董事會持續(xù)職責(zé)的一部分，管理者應(yīng)該扮演教育者和促進(jìn)者的角色。

3. 指定執(zhí)行發(fā)起人

雖然網(wǎng)絡(luò)安全涉及各個部門，但重要的是要將應(yīng)對計(jì)劃的制定交給某人。執(zhí)行發(fā)起人不必制定整個計(jì)劃，但負(fù)責(zé)人應(yīng)該是有權(quán)推動變革并在企業(yè)內(nèi)保持一致的領(lǐng)導(dǎo)者。在理論上，首席信息官、首席信息安全官或首席安全官應(yīng)該能夠勝任這項(xiàng)任務(wù)。

對于企業(yè)來說，任命一位業(yè)務(wù)負(fù)責(zé)人來擔(dān)任這一角色更有意義，因?yàn)樗墓ぷ髋c創(chuàng)收活動或運(yùn)營有關(guān)，而不是與技術(shù)有關(guān)。該人員應(yīng)與技術(shù)領(lǐng)導(dǎo)者接觸，但在處理任務(wù)時應(yīng)將重點(diǎn)放在業(yè)務(wù)戰(zhàn)略上。技術(shù)固然重要，更重要的是最佳響應(yīng)計(jì)劃的框架要圍繞如何最好地為數(shù)據(jù)泄露做好準(zhǔn)備，并在發(fā)生這樣的事件時維持業(yè)務(wù)運(yùn)營。

4. 在企業(yè)中分配角色

首席信息安全官和首席安全官將繼續(xù)制定企業(yè)的安全議程，同時其他領(lǐng)導(dǎo)者也需要發(fā)揮積極作用。首席財務(wù)官必須確保在企業(yè)的所有財務(wù)流程中都有了一定程度的安全性。人力資源總監(jiān)需要認(rèn)真地審查入職新員工的履歷，并充當(dāng)員工熟悉安全實(shí)踐的渠道。銷售主管需要促進(jìn)安全，因?yàn)閱T工的遠(yuǎn)程虛擬訪問可能使他們成為黑客的主要載體。

結(jié)論

在當(dāng)今社會，企業(yè)不能指望完全杜絕網(wǎng)絡(luò)安全訴訟。但他們可以在加強(qiáng)網(wǎng)絡(luò)安全方面發(fā)揮積極作用。企業(yè)需要將網(wǎng)絡(luò)安全作為領(lǐng)導(dǎo)力問題，并將其擴(kuò)展到整個企業(yè)，一直向上延伸到企業(yè)董事會，而這是朝著正確方向邁出的一步。