您有没有考虑过网络风险可能会对您的组织和业务构成威胁?您是否曾遭受过任何类型的IT攻击?网络风险不仅与运营失误有关,还可能导致财务损失和对公司声誉的损害。如果您想了解更多关于如何为威胁做好准备的详细意见,我们在这里为您提供一些专业的见解。
MultiLingual最近发表了一篇来自memoQ战略销售总监Mark Shriner的文章,题目是《管理本地化中的网络风险》(Managing Cyber Risk in Localization)。
这篇文章发表在2021年9月至10月的《MultiLingual》杂志上,概述了不同类型的网络风险,并讨论了降低风险的最佳实践。本文截取公开文本的部分,以飨读者。
Mark Shriner是Secure Talk网络安全播客的创始人。他还曾在本地化行业中担任过多个领导职务,包括CLS Communication的亚太区首席执行官。他现在担任memoQ的战略销售总监,领导该公司在监管行业的业务发展工作。
语言服务提供商(LSP)及其企业客户越来越关注网络安全、隐私和遵守各种监管框架,包括《通用数据保护条例》(GDPR)和《健康保险便携性和责任法案》(HIPAA)。事实上,现在本地化行业的大多数服务和工具的招标书(RFP)都包括与IT安全、托管服务的位置、数据处理和保护以及获得的相关认证(如ISO 27001、ISO 9001和SOC2)有关的问题。
这篇文章分为两部分,将介绍一些与制定网络风险管理计划有关的最佳做法,以解决与网络安全有关的问题,以及一些具体的工具、政策和行动,团队和个人可以用来改善他们的网络安全态势和保护数据。
网络风险可以被定义为由某种类型的网络威胁造成的潜在损害、损失或业务中断。网络威胁是指任何通过利用一个组织的IT系统的漏洞而对其造成损害或损失的东西。这方面的例子包括获取个人IT凭证的网络钓鱼攻击,加密组织数据的勒索软件攻击,或关闭所有受感染设备的病毒。
许多组织仅将网络风险视为其IT资产和数据的风险。然而,对网络风险采取更广泛的观点,并将其视为整体业务风险,这一点越来越普遍。这一点很重要,因为当网络风险被视为一种IT风险时,保护数字和IT资产的责任往往被IT团队孤立起来。然而,降低网络风险的最有效方法是将其视为整个企业的风险,并培养一种优先考虑网络安全的企业文化。
所有组织,无论其行业如何,都面临着三种与网络安全有关的风险:运营风险、法律和合规风险以及声誉风险。
对于大多数公司来说,由于网站、电子商务平台或内部软件系统被黑而无法运营是他们最大的网络安全相关问题。这将被视为一种运营风险,通常是大多数IT安全团队的重点。
监管机构(如GDPR和HIPAA)征收的与客户数据处理不当有关的罚款和制裁正成为一个越来越重要的问题。这将被归类为法律和合规风险,通常由合规官、首席信息安全官(CISO)或公司法律顾问负责。
现实世界合规风险的例子包括谷歌公司于2019年1月21日被法国GDPR监管机构评估为50,000,000欧元的罚款,以及英国信息专员办公室(ICO)宣布打算根据GDPR对英国航空公司罚款204,600,000欧元,因为它无意中允许其网站将访问者转移到由黑客建立的假网站以窃取客户数据。
没有公司愿意看到他们的名字出现在新闻中,成为黑客攻击的受害者,然后因为他们无意中泄露了客户或员工的数据而遭受声誉上的损害和客户、员工、股东信任和善意的损失。这就是为什么降低声誉风险也是极其关键的。
例如,BrandIndex进行的一项消费者调查显示,零售巨头塔吉特公司在2013年发生漏洞,导致4100万客户的信用卡信息丢失后的12个月内,消费者的看法下降了54.6%。这相当于损失了多少销售额,很难量化,但肯定是相当大的。
一些网络风险可以通过采取更好的网络安全实践和培训来减少,而网络事件的负面影响也可以通过适当的规划和使用网络保险等产品来减轻。然而,减少组织的网络风险最好的第一步是在组织的运营风险、法律和合规风险以及声誉风险的具体背景下,在整个组织内建立起对这个问题的认识。
首先,你应该确定你的关键业务系统和数据,并确保你有适当的政策,为它们提供适当的安全水平、冗余和备份。识别关键资产的简单行为为一个组织提供了如何优先考虑其保护和减少风险工作的知识。
对于LSP来说,关键系统可能包括翻译管理系统(TMS)、财务记录平台和CRM工具。敏感数据可能包括人力资源记录、信用卡和银行信息、税务记录、客户联系人,以及包含个人身份信息(PII)的公司、承包商或客户数据。
你还应该考虑你的系统或数据可能从哪些载体受到攻击。例如,你的远程员工是否使用安全的WiFi?你是否有一个明确的程序来消除离职或心怀不满的员工所带来的潜在风险?你的一个同事会不会打开电子邮件中附带的被恶意软件感染的文件?一旦你确定了潜在的攻击媒介,你就可以努力消除或尽量减少它们。
对于法律和合规风险,你需要知道哪些监管机构对你的组织有管辖权。如果你正在处理客户的数据,就像在翻译行业经常发生的那样,你需要知道哪些法规适用于你的组织和客户的数据。
例如,你可能是一个总部设在美国的LSP,在欧洲没有办公室或雇员。但是,如果你有一个欧洲自由语言学家的数据库,或者你正在翻译与可识别的欧洲居民有关的信息,你将被要求遵守GDPR。同样,如果你在美国翻译病人报告的结果(PROs),你将被要求遵循与数据保护和去识别有关的HIPAA准则。如果不这样做,可能会使你的组织面临罚款和制裁,并可能有声誉风险。
在许多组织中,IT团队默认继承了所有与网络安全有关的责任。这可能是有问题的,因为在业务需求和安全需求之间存在着固有的冲突。如果安全变得过于严格,你的工具的可用性和你的生产力将受到影响。然而,如果安全过于宽松,你的数据可能很容易被破坏。此外,在网络安全被认为是每个人工作的一部分的组织中,网络安全是最有效的。
解决这一难题的常见方法是任命一名直接向首席执行官报告的首席安全官。CISO的责任是确保适当的安全实践得到遵循,并确保组织符合相关监管机构的要求。CISO还将与整个公司的利益相关者合作,确保他们的业务和安全需求得到满足。如果你没有雇用全职职位的预算,你可能要考虑一个零星或虚拟的CISO。
同样重要的是,担任这些角色的人和所有高级管理人员要确保你的组织中的每个人,从承包商和兼职实习生直到首席执行官,都意识到网络安全是整个企业的共同责任。如果你的组织中的人没有采用与网络安全有关的最佳做法,没有尽到自己的责任来减少网络风险,那么在最新的入侵检测系统或防病毒软件上花费大量的钱是没有任何好处的。
就像每个组织都应该有一个与雇用、晋升、商务旅行、平等有关的政策一样,你的组织也应该有一个网络安全政策。通过创建一个网络安全政策,你可以获得对关键任务资产的可见性,建立一个保护它们的计划,分配特定项目的责任,如补丁卫生,还可以在最基本的层面上明确你的组织中的每个人对网络安全负责。
网络安全政策文件还应该指定一名首席信息官,并可能创建一个网络安全委员会或网络安全应急小组(CSERT),定期开会并向董事会报告问题和关切。该文件还应该包括一个事件响应计划,其中包括恢复受损资产的详细步骤,以及与员工、股东、客户和公众的沟通。
每个组织都应该在网络安全政策文件中包括他们对培训的承诺。应该要求每个人定期接受一般的安全意识和最佳实践培训。应向有机会接触敏感信息的个人以及担任IT和网络安全相关角色的人提供更深入和集中的培训。
任何负责管理翻译项目的人都应该很好地理解什么是敏感数据、元数据的相关性以及与加密和去识别有关的最佳实践。受GDPR、HIPAA或其他监管准则约束的公司,应该至少有一名内部主题专家,能够识别潜在的问题并提醒高级管理层。
总之,减少与网络安全有关的运营、法律合规和声誉风险的最佳方式是在整个企业范围内建立对这些风险的认识,哪些系统和数据需要保护,以及与网络安全有关的最佳实践。最后,培养一种对网络安全和减少网络风险共同负责的文化是至关重要的。
在本文的第二部分,我们将探讨一些具体的工具和技术,组织可以用来评估和改善他们的网络安全态势,减少网络风险。
1涵盖网络风险的保险政策或 “网络政策 “可以成为减少所有类型网络风险的重要工具。在系统被破坏的情况下,一份好的保单可以为一个组织提供资产负债表保护,支付破坏响应援助、法律和取证服务、客户通知,甚至在客户数据损失的情况下提供信用监测服务。
一些保险公司将利用已经建立的主题专家网络,帮助协调所有的违约应对活动,包括IT、法律、公关和客户通知服务。
一些网络保险将支付赎金软件以恢复数据,以及各种监管机构征收的与漏洞有关的罚款。然而,如果被保险机构没有遵循与本行业安全相关的最佳实践,一些保险公司将拒绝支付。此外,网络政策通常不包括由违规事件引发的监管机构的审计。
就像普通的商业保险一样,一个好的网络政策可以成为一个伟大的工具,以减少公司的运营风险。然而,并不是所有的政策都是平等的,非常重要的是,你要向你的经纪人查询,以清楚地了解什么是和什么是不包括的。
本文内容是机器翻译结果,仅供参考。阅读原文请点击链接: https://multilingual.com/articles/managing-cyber-risk/
© Copyright 2023. 大辞科技 沪ICP备17050550号 沪公网安备 31011402006110号