黑客入侵后,企业犯的前3个错误
Rajesh De (发音为Day) 对网络安全略知一二。在成为律师事务所Mayer Brown的网络安全和数据隐私保护负责人之前,他曾在历史上最臭名昭著的数据泄露事件中担任国家安全局的总顾问: 爱德华·斯诺登 (Edward Snowden) 揭露了该机构的监视程序。
周一,他在纽约市的网络安全思想领导力论坛上对观众说: “当时,没有人知道美国国家安全局。”“(笑话是) 这个首字母缩略词代表没有这样的机构。”甚至德的妻子也对他为 “将宇航员送入太空的机构” 工作的决定感到困惑。
在亲身经历了备受瞩目的数据泄露之后,De在本周的论坛上向人群传授了一些智慧。他解释了企业在应对网络攻击时犯的三大错误。
1.不承认网络安全不仅仅是技术部门的责任。
在考虑网络安全问题时,组织必须意识到这不仅仅是一个技术问题。“比那要大得多,” 德说。“这是一种核心的商业风险,这样认为的后果会触及一切。”
将安全性作为核心价值意味着它会影响优先级,预算问题,时间管理和准备-既可以防止违规,也可以随时制定响应计划。
2.在正确的时间共享正确数量的信息。
De在解释与公众分享太多和太少信息的下意识反应是危险的时,直接借鉴了他在国家安全局的经验。他说: “一般来说,有一个派系希望如此透明,告诉世界上每个人在任何给定时刻已知的任何事情,无论它是否确定。”“当然,为客户提供实时教育是有价值的,但吐出大量必须退回的信息是没有价值的。这真的让人们感到困惑,而不是启发人们。“
然而,朝相反的方向走得太远也是不明智的。他说: “显然,这种方法存在着巨大的风险,无论是声誉还是其他方面。”
找到正确的平衡取决于多种因素-攻击的性质以及事实如何发展以及其他细节-但要达到中间立场是关键。
3.没有让所有相关的玩家尽快进入循环。
虽然决定在什么时候向公众解释什么可能很难公布,但尽早向内部必要的人提供细节是至关重要的。德说: “如果你的危机应对计划中没有建立通信公司或律师事务所,而他们必须在以后赶上,那真的会对组织造成不利影响。”
然而,来自NSA的斯诺登黑客攻击的涟漪仍然很大。周二,参议院通过了一项有争议的法案,名为《网络安全信息共享法案》 (CISA)。该法案鼓励公司与政府和私营部门的其他企业共享有关黑客和数据泄露的信息。尽管批评人士说,这侵犯了客户的隐私,同时也未能充分防止网络攻击,但支持者表示,这项立法是保护数据在未来免受网络攻击的积极步骤。
该法案与众议院今年早些时候通过的另外两项法案相结合,也涉及共享信息,预计将提交奥巴马总统签署。