作者：Veeam企業戰略副總裁DaveRussell&產品戰略高級總監RickVanover

　　日復一日，年復一年，股東網絡訴訟的新聞層出不窮。CapitalOne公司以1.9億美元的價格達成和解。UltimateKronos集團因涉嫌在一次勒索軟件攻擊中存在過失，被集體訴訟，認為糟糕的網絡安全系統是問題的根源。

　　近幾月的這兩則新聞凸顯了公司在這場持續的抵御網絡威脅的戰爭中所面臨的風險。被入侵的公司繼續面臨著直接和明顯的影響：宕機、數據丟失、收益損失、聲譽受損和監管罰款。但是，現在風險越來越大。越來越多的網絡事件引發了消費者、投資者和其他受影響方的集體訴訟，他們認為公司，以及董事會本身，應該更加努力地保護敏感信息。

　　當然，近年來幾乎每家公司都采取了一些措施來改善網絡安全實踐。針對Target、Equifax、Marriott和其他知名公司的高調入侵行為提高了人們的安全意識，并迫使IT決策者加固企業網絡并加強政策。

　　但是入侵不斷出現，訴訟也層出不窮。問題是，許多公司仍然沒有把網絡安全提高到一個真正的組織級優先事項。雖然這更多是小企業的情況，但對于一些大型企業來說，這也是一個問題。大多數企業仍然依靠后臺的IT經理來制定和實施安全戰略。許多企業還沒有讓企業領導人充分參與到網絡安全戰略中來，也沒有將網絡威脅列入董事會議程。

　　現在是時候讓領導人參與進來了。以下是公司領導層優先考慮網絡安全的四個基本步驟。

　　加強董事會的網絡技能

　　董事會需要在網絡安全的準備工作方面發揮積極作用，但首要是確保領導們能夠勝任這項任務。

　　這不僅僅是讓董事會成員與IT和業務負責人進行補救性討論，而是董事會成員需要自我學習以應對持續的網絡安全挑戰。

　　董事會可以從評估其成員的網絡技能水平開始，聘請一名或多名具有網絡事務專業知識的成員。這些網絡專家可以領導小組委員會，并可以就網絡戰略與業務和IT領導人更直接地互動。

　　其次，整個董事會應該每年或每半年接受一次培訓，以了解不斷演變的網絡安全狀況。一個精通網絡問題的董事會可以更好地處理風險、責任和技術問題，這會為他們將來必須做出的戰略決策提供信息支持。

　　創建一個自由流動的信息交流平臺

　　一旦董事會掌握了情況，管理層就有責任制定一個機制，促進有關網絡風險和戰略的及時溝通以協調一致。管理人員應該留出時間，就與網絡安全風險有關的計劃、程序和持續的問題進行充分的互動。重要的是，該機制應包括來自不同部門的利益相關者——從業務到IT到法律人員到人力資源和市場營銷的所有人。雖然網絡安全技術仍將由IT部門控制，但戰略和實施涉及所有部門，并一直延伸到董事會。

　　保持密切互動應該成為董事會持續責任的一部分，并且管理者應該起到教育者和促進者的作用。

　　指定一個執行發起人

　　雖然網絡安全的參與是跨部門的，但重要的是把創建響應計劃的工作交到一個人手中。這個人不一定要制定整個計劃。但他/她應該是一個有權力推動變革并使整個組織達成一致的領導者。理論上，首席信息官、首席信息安全官或首席安全官都是完成這項任務的最佳人選。

　　對于一個組織來說，在這個角色上任命一位業務領導者更加有意義——這個人的工作與創收或運營相關，而不是與技術相關。他/她應與技術領導者接觸，但要以業務戰略為重點來推動這項任務。技術至關重要，但最佳響應計劃的框架應圍繞如何最好地為抵御入侵做好準備，并在受到攻擊時維持正常運營。

　　在組織內分配角色

　　雖然首席安全官和首席信息安全官將繼續制定公司的安全議程，但其他領導人也需要發揮積極作用。首席財務官必須確保在公司所有的財務流程都有一定程度的安全保障。人力資源總監需要更認真地審查新員工，并充當讓員工對安全措施感到放心的渠道。銷售主管需要提高安全衛生水平，特別是對于旅行代理商，他們的虛擬訪問使他們成為黑客攻擊的主要載體。

　　結論

　　鑒于當今這個好訟的社會，公司不能指望完全杜絕網絡訴訟，但可以在抵御它們方面發揮積極作用。讓網絡安全作為領導層需要關注的問題，再將其擴展到整個組織，一直到董事會，這是朝著正確方向邁出的一步。