论文部分内容阅读
物联网的应用使业务面临重大的安全风险,但很多高管们并不理解物联网监管的重要性,特别是第三方实施的情况。这是首席信息官们崭露头角的好机会。
如果您觉得自己的企业正在认真地监管第三方实施的物联网,那么请再好好想一想是不是这样。安全研究公司Ponemon研究所最近联合“共同评估计划(Shared Assessments Program)”进行了一项调查,研究表明,企业董事会基本不会要求对第三方实施的物联网进行风险评估,这就给首席信息官在物联网领域发挥领导作用提供了很好的机会。
Santa Fe集团管理“共同评估计划”,这一业界标准组织的工作重点是第三方风险担保,该集团主席兼首席执行官Catherine Allen说:“从我们的研究结果看,只有25%的受访者说他们的董事会要求在物联网风险评估、管理和监控方面做出担保。这就给董事会教育和最佳实践监管带来了机会和需求。”
研究报告《物联网(IoT):第三方风险的新时代》发现,94%的受访者认为没有任何安全措施的物联网设备和应用导致的安全事件对业务造成的后果是灾难性的——业务会出现明显的中断,相比之下,只有四分之一的董事会要求对物联网风险监管进行升级。
“共同评估计划”的资深副总裁Charlie Miller认为,这两项调查结果表明,企业技术人员与管理层和董事会在理解上存在差距。
Miller说:“我们认识到中下管理层上存在风险。可以说,信息实际上并没有在整个链条上传导下去。灾难性事件随时有可能发生,但董事会和管理层不会对风险进行处理。首席信息官们要把这些信息呈现给相关管理层,向他们阐述清楚,以便有效地处理风险——在这方面,他们还面临很大的挑战。”
这一研究基于对553名首席信息官、首席信息安全官、首席风险官以及在风险管理过程中相关人员(在一系列行业中)的调查,研究发现:
76%的受访者认为,在未来两年内很有可能出现对没有任何安全措施的物联网设备进行分布式拒绝服务攻击。
69%的受访者并没有及时通告其首席执行官和董事会关于第三方风险管理计划的执行情况。
只有44%的受访者说他们的企业有能力保护自己的网络或者企业系统免受有风险的物联网设备带来的攻击。
77%受访者并没有在第三方尽职调查中考虑与物联网相关的风险。
67%受访者在拓展业务关系之前并没有评估物联网安全和相关隐私措施。
Ponemon研究所创始人兼主席Larry Ponemon说:“越来越多的企业转向采用物联网让业务更有成效,这也导致滋生了大量的网络攻击。这些调查结果令人震惊的是,有的部门完全没有认识到第三方安全漏洞对企业造成的影响有多严重,而且部门之间缺乏准备和沟通。”
Ponemon说,部分问题是物联网在很多方面对企业的影响越来越大,但却忽视了监管应由谁来负责。
他说:“物联网的问题是非常广泛的。很显然,需要首席信息官和首席信息安全官的参与,但不一定遵循企业控制风险的方法。不同的业务部门会面临不同的问题。它可能更像是业务功能,而不是合规或者风险管理功能。”
而企业可能会得出结论,保证物联网设备安全是第三方合作伙伴的工作,而第三方则认为,责任在于使用这些设备的公司。
Miller说:“在管理上一定要明确谁拥有这些物联网设备。是IT部门唯一拥有所有权,还是与采购或者其他方共同拥有?通常,不是很清楚已经连网的设备的类型和数量,这就是要求首席信息官们明确的地方。到底有什么,我们需要做什么才能更好地管理?我们不认为政策和合同条款涵盖了一切。显然,它们需要更新,以涵盖这类解决方案。”
报告认为,企业需要更好地了解其供应链上物联网设备所带来的固有风险,一定要认真对待物联网安全,教育各级管理人员,包括董事会成员——从产品开发的设备设计/构思阶段就要综合考虑物联网的安全问题。
具体建议包括:
确保包括所有董事会在内的所有管理层都具备第三方和物联网风险意识。
更新资产管理流程和库存系统,以便将物联网设备包含进来,并掌握所有库存设备的安全特性;如果在安全方面不能很好的控制设备,那么将其替换掉。
如果有必要,针对物联网具体要求审查合同和政策,并更新它们,以包括这些要求。
扩展第三方评估技术和流程,以包括针对物联网设备的控制功能。
围绕物联网设备安全问题,制定具体的外包和采购要求。
设计出新策略,采用新技术以减少物联网设备可能带来的威胁。
與专家、同行、协会和监管者合作,针对物联网风险管理来开发、沟通和实施最佳实践。
包括董事会、管理层、法人、业务部门和第三方在内的各级要针对物联网做好沟通,建立风险意识,做好培训。
认识到您的企业越来越依赖于技术来支持业务以及这种依赖所带来的风险。
采用新技术和创新,但一定要保证基本和核心要求中含有安全控制。
Thor Olavsrud是资深作家,为CIO.com撰写IT安全、大数据、开源技术、微软工具和服务器相关的文章。
原文网址:
http://www.cio.com/article/3202398/leadership-management/cios-should-step-into-the-iot-oversight-void.html
如果您觉得自己的企业正在认真地监管第三方实施的物联网,那么请再好好想一想是不是这样。安全研究公司Ponemon研究所最近联合“共同评估计划(Shared Assessments Program)”进行了一项调查,研究表明,企业董事会基本不会要求对第三方实施的物联网进行风险评估,这就给首席信息官在物联网领域发挥领导作用提供了很好的机会。
Santa Fe集团管理“共同评估计划”,这一业界标准组织的工作重点是第三方风险担保,该集团主席兼首席执行官Catherine Allen说:“从我们的研究结果看,只有25%的受访者说他们的董事会要求在物联网风险评估、管理和监控方面做出担保。这就给董事会教育和最佳实践监管带来了机会和需求。”
研究报告《物联网(IoT):第三方风险的新时代》发现,94%的受访者认为没有任何安全措施的物联网设备和应用导致的安全事件对业务造成的后果是灾难性的——业务会出现明显的中断,相比之下,只有四分之一的董事会要求对物联网风险监管进行升级。
“共同评估计划”的资深副总裁Charlie Miller认为,这两项调查结果表明,企业技术人员与管理层和董事会在理解上存在差距。
Miller说:“我们认识到中下管理层上存在风险。可以说,信息实际上并没有在整个链条上传导下去。灾难性事件随时有可能发生,但董事会和管理层不会对风险进行处理。首席信息官们要把这些信息呈现给相关管理层,向他们阐述清楚,以便有效地处理风险——在这方面,他们还面临很大的挑战。”
这一研究基于对553名首席信息官、首席信息安全官、首席风险官以及在风险管理过程中相关人员(在一系列行业中)的调查,研究发现:
76%的受访者认为,在未来两年内很有可能出现对没有任何安全措施的物联网设备进行分布式拒绝服务攻击。
69%的受访者并没有及时通告其首席执行官和董事会关于第三方风险管理计划的执行情况。
只有44%的受访者说他们的企业有能力保护自己的网络或者企业系统免受有风险的物联网设备带来的攻击。
77%受访者并没有在第三方尽职调查中考虑与物联网相关的风险。
67%受访者在拓展业务关系之前并没有评估物联网安全和相关隐私措施。
Ponemon研究所创始人兼主席Larry Ponemon说:“越来越多的企业转向采用物联网让业务更有成效,这也导致滋生了大量的网络攻击。这些调查结果令人震惊的是,有的部门完全没有认识到第三方安全漏洞对企业造成的影响有多严重,而且部门之间缺乏准备和沟通。”
Ponemon说,部分问题是物联网在很多方面对企业的影响越来越大,但却忽视了监管应由谁来负责。
他说:“物联网的问题是非常广泛的。很显然,需要首席信息官和首席信息安全官的参与,但不一定遵循企业控制风险的方法。不同的业务部门会面临不同的问题。它可能更像是业务功能,而不是合规或者风险管理功能。”
而企业可能会得出结论,保证物联网设备安全是第三方合作伙伴的工作,而第三方则认为,责任在于使用这些设备的公司。
Miller说:“在管理上一定要明确谁拥有这些物联网设备。是IT部门唯一拥有所有权,还是与采购或者其他方共同拥有?通常,不是很清楚已经连网的设备的类型和数量,这就是要求首席信息官们明确的地方。到底有什么,我们需要做什么才能更好地管理?我们不认为政策和合同条款涵盖了一切。显然,它们需要更新,以涵盖这类解决方案。”
报告认为,企业需要更好地了解其供应链上物联网设备所带来的固有风险,一定要认真对待物联网安全,教育各级管理人员,包括董事会成员——从产品开发的设备设计/构思阶段就要综合考虑物联网的安全问题。
具体建议包括:
确保包括所有董事会在内的所有管理层都具备第三方和物联网风险意识。
更新资产管理流程和库存系统,以便将物联网设备包含进来,并掌握所有库存设备的安全特性;如果在安全方面不能很好的控制设备,那么将其替换掉。
如果有必要,针对物联网具体要求审查合同和政策,并更新它们,以包括这些要求。
扩展第三方评估技术和流程,以包括针对物联网设备的控制功能。
围绕物联网设备安全问题,制定具体的外包和采购要求。
设计出新策略,采用新技术以减少物联网设备可能带来的威胁。
與专家、同行、协会和监管者合作,针对物联网风险管理来开发、沟通和实施最佳实践。
包括董事会、管理层、法人、业务部门和第三方在内的各级要针对物联网做好沟通,建立风险意识,做好培训。
认识到您的企业越来越依赖于技术来支持业务以及这种依赖所带来的风险。
采用新技术和创新,但一定要保证基本和核心要求中含有安全控制。
Thor Olavsrud是资深作家,为CIO.com撰写IT安全、大数据、开源技术、微软工具和服务器相关的文章。
原文网址:
http://www.cio.com/article/3202398/leadership-management/cios-should-step-into-the-iot-oversight-void.html