ERM_遏止資安威脅的戰爭

2024-08-19

翻譯轉載自  : Detect and Protect: Cybersecurity Within ERM Strategies | Deloitte US

介紹

隨著各種規模和所有權類型的組織在​​線上處理更多業務、實現流程自動化並僱用遠端員工，網路攻擊的媒介正在不斷擴大。在這種環境中，電子郵件、公司智慧財產權和客戶資料等資訊資產可能成為駭客、網路犯罪分子和間諜活動者利用業務用戶、員工或其他企業利害關係人的重點目標。儘管私營企業的知名度可能不如公共企業，但它們仍然面臨網路攻擊的風險。在某些方面，如果私人公司的安全實踐不成熟，那麼它們可能會成為特別有吸引力的目標，這可能導致其資產遭受巨大損失。

對於整個組織的員工（尤其是資安團隊可能缺乏部署有效計畫資源的私人企業）來說，了解如何保護系統和資訊免受日益增長的資訊威脅非常重要。企業風險管理 (ERM) 計劃中強大的檢測和響應能力的好處很像多普勒雷達，在後台進行監視和跟踪風暴，使團隊能夠在網路威脅出現時檢測和響應。
 

多方面的威脅

資安駭客變得越來越複雜和高效，組織可能要等到攻擊發生幾個月後才會發現。 2023 年的一項調查顯示，組織需要 204 天的時間來識別違規行為，並且在發現違規行為後平均需要 73 天來遏制解決。

針對私人公司的一種常見攻擊類型是勒索軟體，駭客透過持有資訊來勒索組織索取贖金。到 2022 年，Deloitte觀察到了 100 多個獨特的勒索軟體系列，它們共享通用程式碼和惡意命令。 2023的前半年，勒索團體向受害者勒索了超過 4.49 億美元，讓攻擊金額接近在 2021年9.4 億美元的峰值。

我們的研究也顯示其他類型的攻擊對公司產生負面影響，包括透過詐騙帳號冒充高階主管的社群媒體、針對高階主管的惡意社群媒體帳號以及危害企業電子郵件帳號的網路釣魚攻擊。

第三方違規和相關網路風險是另一個值得關注的領域。在Deloitte近期的研究中，74%的回應者表示在最近三年間至少遇到了一次第三方攻擊。

愛國的「駭客行動主義者」包括另一個威脅行為團體，他們透過資料外洩、意識形態攻擊和網站篡改等方式利用資訊來影響地緣政治事務。這些攻擊有時可能廣泛針對交戰方和政府政權，但其影響會滲透到公共服務和私人公司。

針對私人公司的一種常見攻擊類型是勒索軟體，駭客透過持有資訊來勒索組織索取贖金。
 

評估風險機率

隨著網路威脅的增加，風險也在增加，私人公司和家族企業有責任擁有有效的偵測系統。私人公司可以考慮的一項主要做法是養成制定風險概況的習慣，即評估風險機率和威脅的影響。這涉及確定企業的整體風險偏好，以便為整個企業設定策略基調。

可以部署一些基本的身份和執行存取管理來幫助避免潛在的資料安全漏洞或遺失。例如，擁有一個包含特權存取管理、治理、單一登入和多因素身份驗證等內容的身份和存取管理系統可能是一種可靠的方法。此外，建立企業架構，在該架構中僅向某些個人授予根據其角色所需的存取權限或特權，可以限制資料和資訊外洩的潛在路徑。

董事會和執行長可以採取的另一個實際步驟是確定一份皇冠上的寶石清單，即組織最重要的資產。這些寶貴的資產可能包括客戶資料、交易銀行資訊或寶貴的智慧財產權（例如公式或專利）。僅僅知道它們是什麼還不夠；還需要了解它們。組織應該知道他們在哪裡以及如何最好地保護他們。

公司也可以考慮第三方提供者的偵測能力。但就像對自己的組織進行連續雷達掃描一樣，考慮和監控第三方生態系統內的威脅也很重要。為此，領先的做法是向第三方風險管理提供者提出一系列問題。這可能包括有關供應鏈健康狀況、供應商在供應鏈中的位置以及第三方是否曾經被破壞的問題。

董事會和執行長可以採取的另一個實際步驟是確定一份皇冠上的寶石清單——組織最重要的資產。這些寶貴的資產可能包括客戶資料、交易銀行資訊或有價值的智慧財產權，例如公式或專利。
 

分散責任

控制整個組織生態系統的風險需要大量的協調和正確的風險管理結構。對於規模較小或不太成熟的私人公司來說，其安全主管身兼數職，這可能會給工作帶來額外的壓力。此人可能是 IT 安全主管，但這意味著他們通常也是負責隱私的 IT 總監，也可能兼任另一項數位工作。人們常常混淆安全主管與執行團隊以及董事會的角色。

Deloitte預計，到 2025 年，網路犯罪造成的損失將增加至 10.5 兆美元，凸顯了採取強而有力的安全措施的必要性。傳統的漏洞偵測時間可能會滯後數月，可能需要採取更主動的方法來保護資料和系統。

董事會最終負責維護組織的治理和生存能力。現在的問題是董事會是否有能力針對於風險決策採用正確的做法。
 

規劃回應事件的策略

我們準備了一系列問題，領導者可以向其組織提出，無論他們處於準備範圍的哪個階段：

• 對於組織來說，資安是否足夠優先，以至於有專人致力於該角色並具有完成這項工作的專業知識能力？
• 如果遭到破壞，事件回應策略是什麼？是否有效地保護關鍵資產，避免重大影響？
• 如果遭受勒索軟體攻擊，是否有適當的備份和復原系統？我們能否在攻擊中保持經營彈性並維持必要的商業運營？
• 處理第三方風險的流程是否以正確的頻率進行，是否提出了正確的問題來確定供應商和第三方的風險概況？

在本系列的下一部分中，我們將探討一些常見的營運風險以及私人公司如何整合營運風險管理以更有效地承擔風險。

點閱次數：77