企業在安全方面更糟糕的做法是沒有人承擔相應的責任。當網絡攻擊者攻擊并竊取企業的數據時尤其如此。

很多新聞報道了企業遭受的網絡安全事件，很多企業因處置問題不當而招致批評。英國電信公司泄露了157000名客戶的個人資料，該公司由于此次事件發生之后，與客戶溝通不暢而遭到指責，因此損失了10.1萬名客戶，并且導致4200萬英鎊的損失。然后，一家ICO公司因不適當的安全措施而罰款40萬英鎊。

最近發生的一個信用機構的違規事件更為嚴重，至少有1.43億人的個人資料落入了黑客之手。批評人士指出，這家公司在數據泄露五個多星期之后才發現違規行為，事件發生后建立一個違規通知網站，要求用戶提供敏感信息，而其配置如此糟糕，以至于OpenDNS將其當作一個釣魚網站而屏蔽。

[[217215]]

這樣的錯誤會影響企業的聲譽，并會影響財務狀況。企業的高級管理人員必須為以下三件事進行準備，并避免出現這樣的問題：

• 通過高級管理層的支持確認其重要性。
• 與員工溝通。
• 創建安全策略

企業必須創建一個全面的安全策略，其中包括事件響應計劃，以便企業隨時準備在最壞情況發生時迅速做出反應。

安全策略是企業針對網絡攻擊者的第一道防線，將概述保護系統和數據的過程。它將人員和技術結合在一起，確保員工和承包商懂得如何負責任地、安全地使用計算機系統。

這個策略通常包括可接受的加密、可接受的應用程序使用、密碼保護和數據傳輸等類別。它也包含其他的不太明顯的細節，如保持桌面清潔以及處理紙質文件的過程(垃圾箱中沒有敏感文件)。

有效的書面溝通和安全策略可以顯著降低違規事件的可能性，但對于網絡攻擊者來說，只需要成功一次就可以實現目標。如果網絡攻擊者發現有效的方法，并且企業遭遇了數據泄露，那么第二道防線就會啟動：事件響應計劃。

事件響應計劃是任何安全策略的重要組成部分。正如企業確切地知道在緊急情況下應該怎么做，以及如何在緊急情況下，事件響應計劃使企業關鍵的工作人員通過必要的步驟遏制和消除網絡安全威脅，從中斷中恢復并對損害進行補救。企業通過幾個權威指南來創建事件響應計劃。

在英國，網絡安全非盈利機構CREST公司發布了一份制定網絡安全事件響應計劃的詳細指南。在美國，美國國家標準與技術研究院出版了一個很好的指導性文件，涵蓋了這個過程中的幾個階段。

制定這些計劃的行業資源可能在那里，但企業往往在準備過程中的做法不盡人意。“NTT全球安全風險：價值報告”的報告中指出，只有48%的受訪者表示制定了事件響應計劃，其余的受訪者表示正處在實施或設計的不同階段。10%的受訪者表示對事件響應計劃的存在一無所知，或者表示他們對此沒有準備好。

確認策略的重要性

這些計劃非常重要，因為它們可以使組織在數據泄露事件中擁有所有權以及承擔責任。將為企業帶來快速有效的恢復和緩慢痛苦恢復之間的區別。可以幫助企業進行精心策劃的、能夠勝任的回應，并避免混亂的下意識反應讓客戶感到困惑和憤怒。

安全策略需要經驗技巧和專業知識結合在一起，但是除非高級管理人員對此關注，否則它是無用的。而企業的董事如果重視這一策略，就會傳達給企業其他部門實施。

事件響應是需要來自組織最高層多方面提供幫助多學科工作。當企業遭遇違規事件時，其反應速度和決策權力是必不可少的。企業關鍵的團隊成員必須有適當的權力來完成任務。

這在理論上聽起來很好，但在實踐中并不會經常發生。在NTT安全2017年風險價值報告中所調查的1350名國際非IT決策者中，有73%的受訪者認為防止安全漏洞應該是企業董事會議程上的一個常規項目。事實上，只有56%的企業董事會成員經常談論這個問題，而44%的公司還沒有實施完整的安全策略。

向員工傳達安全政策

企業的首席信息安全官(CISO)如何確保事件響應計劃成功?從溝通開始。在實施這一計劃的企業中，只有47%的受訪者了解其中的內容。

事件響應團隊理解計劃并準備執行。

企業擁有一個強大的安全策略和事件響應計劃應對網絡攻擊的良好基礎，但它不僅僅是對自身的保護。首席信息安全官必須使這些計劃和政策很好地結合起來，形成一個滲透其公司文化的文件。而這將是其在2018年的一個很好的項目。