首席信息官應(yīng)涉足物聯(lián)網(wǎng)監(jiān)管空白

Thor+Olavsrud++Charles

物聯(lián)網(wǎng)的應(yīng)用使業(yè)務(wù)面臨重大的安全風(fēng)險(xiǎn)，但很多高管們并不理解物聯(lián)網(wǎng)監(jiān)管的重要性，特別是第三方實(shí)施的情況。這是首席信息官們嶄露頭角的好機(jī)會(huì)。

如果您覺(jué)得自己的企業(yè)正在認(rèn)真地監(jiān)管第三方實(shí)施的物聯(lián)網(wǎng)，那么請(qǐng)?jiān)俸煤孟胍幌胧遣皇沁@樣。安全研究公司Ponemon研究所最近聯(lián)合“共同評(píng)估計(jì)劃（Shared Assessments Program）”進(jìn)行了一項(xiàng)調(diào)查，研究表明，企業(yè)董事會(huì)基本不會(huì)要求對(duì)第三方實(shí)施的物聯(lián)網(wǎng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，這就給首席信息官在物聯(lián)網(wǎng)領(lǐng)域發(fā)揮領(lǐng)導(dǎo)作用提供了很好的機(jī)會(huì)。

Santa Fe集團(tuán)管理“共同評(píng)估計(jì)劃”，這一業(yè)界標(biāo)準(zhǔn)組織的工作重點(diǎn)是第三方風(fēng)險(xiǎn)擔(dān)保，該集團(tuán)主席兼首席執(zhí)行官Catherine Allen說(shuō)：“從我們的研究結(jié)果看，只有25%的受訪者說(shuō)他們的董事會(huì)要求在物聯(lián)網(wǎng)風(fēng)險(xiǎn)評(píng)估、管理和監(jiān)控方面做出擔(dān)保。這就給董事會(huì)教育和最佳實(shí)踐監(jiān)管帶來(lái)了機(jī)會(huì)和需求?！?/p>

研究報(bào)告《物聯(lián)網(wǎng)（IoT）：第三方風(fēng)險(xiǎn)的新時(shí)代》發(fā)現(xiàn)，94%的受訪者認(rèn)為沒(méi)有任何安全措施的物聯(lián)網(wǎng)設(shè)備和應(yīng)用導(dǎo)致的安全事件對(duì)業(yè)務(wù)造成的后果是災(zāi)難性的——業(yè)務(wù)會(huì)出現(xiàn)明顯的中斷，相比之下，只有四分之一的董事會(huì)要求對(duì)物聯(lián)網(wǎng)風(fēng)險(xiǎn)監(jiān)管進(jìn)行升級(jí)。

“共同評(píng)估計(jì)劃”的資深副總裁Charlie Miller認(rèn)為，這兩項(xiàng)調(diào)查結(jié)果表明，企業(yè)技術(shù)人員與管理層和董事會(huì)在理解上存在差距。

Miller說(shuō)：“我們認(rèn)識(shí)到中下管理層上存在風(fēng)險(xiǎn)。可以說(shuō)，信息實(shí)際上并沒(méi)有在整個(gè)鏈條上傳導(dǎo)下去。災(zāi)難性事件隨時(shí)有可能發(fā)生，但董事會(huì)和管理層不會(huì)對(duì)風(fēng)險(xiǎn)進(jìn)行處理。首席信息官們要把這些信息呈現(xiàn)給相關(guān)管理層，向他們闡述清楚，以便有效地處理風(fēng)險(xiǎn)——在這方面，他們還面臨很大的挑戰(zhàn)?！?/p>

這一研究基于對(duì)553名首席信息官、首席信息安全官、首席風(fēng)險(xiǎn)官以及在風(fēng)險(xiǎn)管理過(guò)程中相關(guān)人員（在一系列行業(yè)中）的調(diào)查，研究發(fā)現(xiàn)：

76%的受訪者認(rèn)為，在未來(lái)兩年內(nèi)很有可能出現(xiàn)對(duì)沒(méi)有任何安全措施的物聯(lián)網(wǎng)設(shè)備進(jìn)行分布式拒絕服務(wù)攻擊。

69%的受訪者并沒(méi)有及時(shí)通告其首席執(zhí)行官和董事會(huì)關(guān)于第三方風(fēng)險(xiǎn)管理計(jì)劃的執(zhí)行情況。

只有44%的受訪者說(shuō)他們的企業(yè)有能力保護(hù)自己的網(wǎng)絡(luò)或者企業(yè)系統(tǒng)免受有風(fēng)險(xiǎn)的物聯(lián)網(wǎng)設(shè)備帶來(lái)的攻擊。

77%受訪者并沒(méi)有在第三方盡職調(diào)查中考慮與物聯(lián)網(wǎng)相關(guān)的風(fēng)險(xiǎn)。

67%受訪者在拓展業(yè)務(wù)關(guān)系之前并沒(méi)有評(píng)估物聯(lián)網(wǎng)安全和相關(guān)隱私措施。

Ponemon研究所創(chuàng)始人兼主席Larry Ponemon說(shuō)：“越來(lái)越多的企業(yè)轉(zhuǎn)向采用物聯(lián)網(wǎng)讓業(yè)務(wù)更有成效，這也導(dǎo)致滋生了大量的網(wǎng)絡(luò)攻擊。這些調(diào)查結(jié)果令人震驚的是，有的部門完全沒(méi)有認(rèn)識(shí)到第三方安全漏洞對(duì)企業(yè)造成的影響有多嚴(yán)重，而且部門之間缺乏準(zhǔn)備和溝通。”

Ponemon說(shuō)，部分問(wèn)題是物聯(lián)網(wǎng)在很多方面對(duì)企業(yè)的影響越來(lái)越大，但卻忽視了監(jiān)管應(yīng)由誰(shuí)來(lái)負(fù)責(zé)。

他說(shuō)：“物聯(lián)網(wǎng)的問(wèn)題是非常廣泛的。很顯然，需要首席信息官和首席信息安全官的參與，但不一定遵循企業(yè)控制風(fēng)險(xiǎn)的方法。不同的業(yè)務(wù)部門會(huì)面臨不同的問(wèn)題。它可能更像是業(yè)務(wù)功能，而不是合規(guī)或者風(fēng)險(xiǎn)管理功能。”

而企業(yè)可能會(huì)得出結(jié)論，保證物聯(lián)網(wǎng)設(shè)備安全是第三方合作伙伴的工作，而第三方則認(rèn)為，責(zé)任在于使用這些設(shè)備的公司。

Miller說(shuō)：“在管理上一定要明確誰(shuí)擁有這些物聯(lián)網(wǎng)設(shè)備。是IT部門唯一擁有所有權(quán)，還是與采購(gòu)或者其他方共同擁有？通常，不是很清楚已經(jīng)連網(wǎng)的設(shè)備的類型和數(shù)量，這就是要求首席信息官們明確的地方。到底有什么，我們需要做什么才能更好地管理？我們不認(rèn)為政策和合同條款涵蓋了一切。顯然，它們需要更新，以涵蓋這類解決方案。”

報(bào)告認(rèn)為，企業(yè)需要更好地了解其供應(yīng)鏈上物聯(lián)網(wǎng)設(shè)備所帶來(lái)的固有風(fēng)險(xiǎn)，一定要認(rèn)真對(duì)待物聯(lián)網(wǎng)安全，教育各級(jí)管理人員，包括董事會(huì)成員——從產(chǎn)品開(kāi)發(fā)的設(shè)備設(shè)計(jì)/構(gòu)思階段就要綜合考慮物聯(lián)網(wǎng)的安全問(wèn)題。

具體建議包括：

確保包括所有董事會(huì)在內(nèi)的所有管理層都具備第三方和物聯(lián)網(wǎng)風(fēng)險(xiǎn)意識(shí)。

更新資產(chǎn)管理流程和庫(kù)存系統(tǒng)，以便將物聯(lián)網(wǎng)設(shè)備包含進(jìn)來(lái)，并掌握所有庫(kù)存設(shè)備的安全特性；如果在安全方面不能很好的控制設(shè)備，那么將其替換掉。

如果有必要，針對(duì)物聯(lián)網(wǎng)具體要求審查合同和政策，并更新它們，以包括這些要求。

擴(kuò)展第三方評(píng)估技術(shù)和流程，以包括針對(duì)物聯(lián)網(wǎng)設(shè)備的控制功能。

圍繞物聯(lián)網(wǎng)設(shè)備安全問(wèn)題，制定具體的外包和采購(gòu)要求。

設(shè)計(jì)出新策略，采用新技術(shù)以減少物聯(lián)網(wǎng)設(shè)備可能帶來(lái)的威脅。

與專家、同行、協(xié)會(huì)和監(jiān)管者合作，針對(duì)物聯(lián)網(wǎng)風(fēng)險(xiǎn)管理來(lái)開(kāi)發(fā)、溝通和實(shí)施最佳實(shí)踐。

包括董事會(huì)、管理層、法人、業(yè)務(wù)部門和第三方在內(nèi)的各級(jí)要針對(duì)物聯(lián)網(wǎng)做好溝通，建立風(fēng)險(xiǎn)意識(shí)，做好培訓(xùn)。

認(rèn)識(shí)到您的企業(yè)越來(lái)越依賴于技術(shù)來(lái)支持業(yè)務(wù)以及這種依賴所帶來(lái)的風(fēng)險(xiǎn)。

采用新技術(shù)和創(chuàng)新，但一定要保證基本和核心要求中含有安全控制。

Thor Olavsrud是資深作家，為CIO.com撰寫IT安全、大數(shù)據(jù)、開(kāi)源技術(shù)、微軟工具和服務(wù)器相關(guān)的文章。

原文網(wǎng)址：

http：//www.cio.com/article/3202398/leadership-management/cios-should-step-into-the-iot-oversight-void.html