要讓其組織保持安全和競爭力,董事會 (BoD) 必須強化網路安全意識並做好充分準備。如果您是董事會成員,您可以讓貴組織的資訊安全長 (CISO) 來協助您建立安全優先的思維,並隨時了解新出現的威脅和網路安全趨勢。詢問 CISO 詢這六個關鍵問題,展開討論。
誰為安全負責?
建立優先考慮安全的主事者精神文化,對降低組織的網路風險至關重要。想一想整個組織是否清楚安全是業務的當務之急。無論角色為何,每位員工在安全方面是否都有主事者精神? 領導層是否做出安全驅動的決策,以強化安全文化?
組織面臨哪些威脅?
身為董事會成員,您是否了解當今的網路安全威脅以及貴組織準備如何抵禦這些威脅? 如果您不了解,您可能需要與 CISO 多溝通了。您可以要求 CISO 定期向董事會報告組織的網路安全優先事項。CISO 應準備好從業務的角度討論這些優先事項,強調組織的風險、韌性和聲譽,而不是技術細節。
誰有權存取貴組織的資料?
資料是組織最寶貴的資源。如果貴組織不能隨時隨地充分保護資料,那麼可能會將客戶和員工置於危險之中。這就是為什麼貴組織必須監控和管理存取許可,確保員工只能存取履行其角色職責所需的資料。管理存取可以減少可能接觸敏感資料的人員數量,而監控存取將使安全部門能夠更快、更準確地偵測資料洩露。
貴組織最有價值的資產是什麼?
最低權限存取管理完全取決於貴組織如何對其資料進行分類。貴組織應定期評估其資產,以確保最敏感的資料正確分類,並僅限具有最高安全許可的人員存取。
貴組織建立了哪些保護層?
如要有效保障安全,貴組織必須採取一個具有多個保護層的全方面的計畫。想一想貴組織如何保護其基礎設施、資料、應用程式、電子郵件、實體建築物和資料中心,乃至 AI 開發和訓練模型。這些都是實現安全所需考量的層面,如果這些層面受到良好的保護,那麼組織的韌性將得以提升,否則,組織的韌性就會減弱。
貴組織是否準備好應對網路安全事件?
定期的事件回應測試至關重要,這可以確保每個人都知道,真實事件發生時應該如何應對。貴組織會為真實事件做好準備嗎? 事件回應計畫是已經就位,還是尚未制定? 員工是否按照事件回應計畫進行了充分的演練? 董事會在這些計畫中扮演什麼角色?
安全自上而下
定期與 CISO 互動的董事會能夠更好地了解風險以及如何在安全方面投資,從而讓組織能夠自信地發展並更快地實現價值。但並非所有 CISO 都知道如何與董事會進行有效的溝通。下載此資源的 PDF 版本,以更好地完成與 CISO 的下一次對話。
邁出下一步
探索有關生成式 AI 安全的新研究
一項針對 200 名高階主管的調查發現,只有 24% 的生成式 AI 專案採取了充分的安全措施。閱讀這份由 IBM 和 AWS 合作撰寫的研究報告以了解其中的原因。