对于网络攻击事件的回应表明,企业可能很难在事件发生的过程中获得正确的信息。虽然管理与事件相关的通信不在首席信息安全的直接职权范围内,但企业拥有现有的通信计划是网络防范的基本要素。
帮助企业进行网络攻击事件管理等业务的hall&wilcox公司网络主管eden winokur表示,“沟通是良好网络战略的关键组成部分,在网络攻击事件发生之前,企业应该做好准备并进行实践。”
网络安全准备应包括通信计划
winokur的建议是,在应对网络安全事件时,宁可牺牲透明度,也要确保准确性。他说,“网络安全问题不仅仅是一种it风险,也是一种企业风险,网络安全防范的一个关键部分包括在企业内部之间、以及与外部利益相关者的沟通策略。”
如果是一个重大事件,那么与在处理网络攻击方面有着丰富经验的人员进行沟通是至关重要的。winokur指出:“我们建议企业与外部专家在网络安全方面以及公众或媒体会如何接受某些信息进行沟通。”
虽然行业协会或政府部门在制定沟通计划方面几乎没有提供官方指导,但企业的沟通团队与高级领导层、法务部门和首席信息安全官团队应该在制定应对措施方面发挥作用,这需要考虑隐私法规、上市公司和执法机构的披露义务要求。
winokur建议从分析和记录所有相关的利益相关者(内部和外部)开始,并随着情况的变化不断更新记录。他说,“我们还建议企业履行关键合同,了解与客户沟通的义务。”
企业已经批准的声明可以迅速加以修改,并将为有组织的反应奠定基础。winokur说:“需要有可以针对具体问题量身定制的模板。这些信息可以发布给员工、政府、利益相关者、客户或客户,可以发布在网站上,也可以发布在任何可能需要的地方。”
在发生网络安全事件之后不要急于与利益相关者沟通
当网络安全事件最初发生时,往往是未知的情况,人们强烈希望消除甚至遏制这一事件。处理危机通讯的reputation partners公司的执行副总裁兼总经理andrew moyer警告说,对准确性的需求至关重要。他表示,如果企业在某个时间点基于理解而抢先发布明确的声明,但随后又放弃或改变这些声明,这可能会带来更大的灾难。
突然之间,一次网络安全事件演变成了一场全面的公关危机。如果情况发生了变化,就会对企业的可信度产生质疑。moyer说:“企业对网络安全事件不要说得太具体,以至于失去了可信度。”
moyer表示,随着网络攻击变得越来越频繁,公众对发生的事件有了一定程度的了解。因此,人们更容易接受企业的陈述,所以企业不必把自己置身于困境。他建议使用包含“相对规模”术语的语言进行描述,例如,“我们知道受影响的人数有限”,而不是“我们认为有1000人受到影响。”
任何处于一线的人员都需要一个发生什么事情的早期预警信号,并与决策者直接联系,提出何时有必要启动危机计划的问题。moyer说:“作为沟通策略的一部分,为了确保准确无误,确认调查是否正在进行,并多次发表这种声明,这是至关重要的。其中一些可以归结为尽早将这些材料作为模板,以便人们完成初步审查并签字,因此可以更快地行动。”
如何确保制定良好的事故后沟通计划
现有的沟通计划将绘制信息流图,以确保正确的人员得到及时的信息,以便组织起来并传播信息,从而使每个人都得到一致的信息。如果是数据泄露事件出现在企业内部,可以建立危机应对团队,包括首席信息安全官、沟通主管和人力资源部,目的是让每个人都了解他们在这一特定响应中的角色和责任,以及企业对速度和准确性之间的平衡的偏好。
然而,事故后沟通计划的强大程度取决于它的测试。moyer说:“重新审查可以让企业定期评估风险。例如,有没有在去年没有想到的新风险需要进行规划?有没有可以弥补的差距和漏洞?制定一个完整的计划意味着避免依赖企业内部关于如何处理危机的集体记忆的问题。这也确保了如果企业具有丰富经验和知识的员工退休或离职,如果出现网络安全事件,也可以进行求助。”
当涉及到网络安全时,有很多事情需要考虑,其中可能包括州、地方、联邦和国际层面的法规或要求,与凯发在线的合作伙伴或客户的合同条款等等。这就是建议在通话簿上标注外部顾问和危机处理人员电话号码的原因。他说,“企业提前建立这些关系,将会在发生网络安全事件时更快地行动。”
停止沟通可能会使情况变得更糟,建议进行外部沟通在这里很有用。moyer说:“外部顾问可以评估关键标准,以决定企业是否需要将网络安全防范措施从被动转向主动,是否需要改变要传达的信息或叙述?”
moyer建议首席信息安全官制定一个良好的运营计划,并在内部与其他利益相关者沟通,同时还要了解他们的运营响应如何与沟通响应相匹配,这是双向的渠道。他解释说,“因此,首席信息安全官和通信人员都可以了解运营响应,这鼓励他们推动这些功能之间的联系,如果目前还没有实现的话。这并不是让专注于关键运营响应的人承受过重的通信负担,而是确保信息流、组织结构和流程能够最大程度地实现这一点。”
事件检测为通信定下了基调
早期发现不仅对限制网络攻击的损害至关重要,而且对管理措施反应至关重要。毕马威(kpmg)公司的合伙人paul black专门研究网络事件响应。他表示,企业发现自己遭遇网络攻击事件的方式决定了他们如何应对。他经常看到很多企业直到一段时间后才意识到出现漏洞,有时是当他们的数据开始出现在暗网上时。他说,“他们通常会出现恐慌反应,因为企业从第三方那里获得数据是很常见的,无论是客户还是竞争对手、执法部门或监管机构,这些数据都出现在暗网上。”
他说,“如果能够迅速了解根本原因,就会为确保引入正确的利益相关者、发出正确的通知、管理数据以及适当管理与第三方的通信铺平道路。检测和感知元素实际上与通信元素相连,因为知道得越早,就能更好地理解和传递信息。也许这种联系在安全领域和首席信息安全官之间并不总是明确的。”
black建议企业利用他们的网络保险,其中包括公关和危机沟通。这样做可以帮助应对网络安全事件,特别是在围绕企业的数据资产以及如何处理披露义务的讨论中。在某些情况下,通信手段可能是问题的一部分,例如商务电子邮件妥协(bec),因此可能需要关闭一段时间,这只会增加挑战。最重要的是,建立一个管理事件的指挥链,这在内部和外部沟通方面是至关重要的。
另一个需要考虑的问题是,在数字通信时代,内部沟通与对外披露一样重要。他说,“这些事情可能非常敏感。企业在内部公布通讯内容说 ‘我们遭遇了数据泄露,正在进行调查’,这样做可能不太合适,因为这件事在第二天可能就会登上报纸的头版。”
black还鼓励首席信息安全官和企业高管花费时间运行模拟场景,对响应计划进行压力测试。他说:“这往往让企业高管在面对网络攻击时束手无策,因为这并不一定符合预先准备好的事件响应计划。”
他建议首席信息安全官不要避免具有挑战性的练习,而只是满足于召开洞察会议,因为担心可能会让企业高管感到尴尬。他说,“这是最糟糕的事情,因为人们希望在安全的环境中经历这样的场景,从而可以承受压力。然而,在网络安全事件发生时,人们将面临巨大的压力。
最好的结果是,如今企业确定了100个漏洞,并且每个人都有一个需要解决的20个行动项目的列表。这意味着总的来说,已经确定了响应能力的不足之处,可以解决这些问题,然后提升能力。反应最有效的企业已经投入更多的时间和资源来挑战自己,并从这些实践中学习。”
关于企业网d1net(www.d1net.com):
国内主流的to b it门户,同时在运营国内最大的甲方cio专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个it行业公众号(微信搜索d1net即可关注)。
凯发在线的版权声明:本文为企业网d1net编译,转载需注明出处为:企业网d1net,如果不注明出处,企业网d1net将保留追究其法律责任的权利。