Thor+Olavsrud++Charles

物聯(lián)網(wǎng)的應(yīng)用使業(yè)務(wù)面臨重大的安全風(fēng)險(xiǎn)，但很多高管們并不理解物聯(lián)網(wǎng)監(jiān)管的重要性，特別是第三方實(shí)施的情況。這是首席信息官們嶄露頭角的好機(jī)會。

如果您覺得自己的企業(yè)正在認(rèn)真地監(jiān)管第三方實(shí)施的物聯(lián)網(wǎng)，那么請?jiān)俸煤孟胍幌胧遣皇沁@樣。安全研究公司Ponemon研究所最近聯(lián)合“共同評估計(jì)劃（Shared Assessments Program）”進(jìn)行了一項(xiàng)調(diào)查，研究表明，企業(yè)董事會基本不會要求對第三方實(shí)施的物聯(lián)網(wǎng)進(jìn)行風(fēng)險(xiǎn)評估，這就給首席信息官在物聯(lián)網(wǎng)領(lǐng)域發(fā)揮領(lǐng)導(dǎo)作用提供了很好的機(jī)會。

Santa Fe集團(tuán)管理“共同評估計(jì)劃”，這一業(yè)界標(biāo)準(zhǔn)組織的工作重點(diǎn)是第三方風(fēng)險(xiǎn)擔(dān)保，該集團(tuán)主席兼首席執(zhí)行官Catherine Allen說：“從我們的研究結(jié)果看，只有25%的受訪者說他們的董事會要求在物聯(lián)網(wǎng)風(fēng)險(xiǎn)評估、管理和監(jiān)控方面做出擔(dān)保。這就給董事會教育和最佳實(shí)踐監(jiān)管帶來了機(jī)會和需求?！?/p>

研究報(bào)告《物聯(lián)網(wǎng)（IoT）：第三方風(fēng)險(xiǎn)的新時(shí)代》發(fā)現(xiàn)，94%的受訪者認(rèn)為沒有任何安全措施的物聯(lián)網(wǎng)設(shè)備和應(yīng)用導(dǎo)致的安全事件對業(yè)務(wù)造成的后果是災(zāi)難性的——業(yè)務(wù)會出現(xiàn)明顯的中斷，相比之下，只有四分之一的董事會要求對物聯(lián)網(wǎng)風(fēng)險(xiǎn)監(jiān)管進(jìn)行升級。

“共同評估計(jì)劃”的資深副總裁Charlie Miller認(rèn)為，這兩項(xiàng)調(diào)查結(jié)果表明，企業(yè)技術(shù)人員與管理層和董事會在理解上存在差距。

Miller說：“我們認(rèn)識到中下管理層上存在風(fēng)險(xiǎn)?？梢哉f，信息實(shí)際上并沒有在整個(gè)鏈條上傳導(dǎo)下去。災(zāi)難性事件隨時(shí)有可能發(fā)生，但董事會和管理層不會對風(fēng)險(xiǎn)進(jìn)行處理。首席信息官們要把這些信息呈現(xiàn)給相關(guān)管理層，向他們闡述清楚，以便有效地處理風(fēng)險(xiǎn)——在這方面，他們還面臨很大的挑戰(zhàn)?！?/p>

這一研究基于對553名首席信息官、首席信息安全官、首席風(fēng)險(xiǎn)官以及在風(fēng)險(xiǎn)管理過程中相關(guān)人員（在一系列行業(yè)中）的調(diào)查，研究發(fā)現(xiàn)：

76%的受訪者認(rèn)為，在未來兩年內(nèi)很有可能出現(xiàn)對沒有任何安全措施的物聯(lián)網(wǎng)設(shè)備進(jìn)行分布式拒絕服務(wù)攻擊。

69%的受訪者并沒有及時(shí)通告其首席執(zhí)行官和董事會關(guān)于第三方風(fēng)險(xiǎn)管理計(jì)劃的執(zhí)行情況。

只有44%的受訪者說他們的企業(yè)有能力保護(hù)自己的網(wǎng)絡(luò)或者企業(yè)系統(tǒng)免受有風(fēng)險(xiǎn)的物聯(lián)網(wǎng)設(shè)備帶來的攻擊。

77%受訪者并沒有在第三方盡職調(diào)查中考慮與物聯(lián)網(wǎng)相關(guān)的風(fēng)險(xiǎn)。

67%受訪者在拓展業(yè)務(wù)關(guān)系之前并沒有評估物聯(lián)網(wǎng)安全和相關(guān)隱私措施。

Ponemon研究所創(chuàng)始人兼主席Larry Ponemon說：“越來越多的企業(yè)轉(zhuǎn)向采用物聯(lián)網(wǎng)讓業(yè)務(wù)更有成效，這也導(dǎo)致滋生了大量的網(wǎng)絡(luò)攻擊。這些調(diào)查結(jié)果令人震驚的是，有的部門完全沒有認(rèn)識到第三方安全漏洞對企業(yè)造成的影響有多嚴(yán)重，而且部門之間缺乏準(zhǔn)備和溝通?！?/p>

Ponemon說，部分問題是物聯(lián)網(wǎng)在很多方面對企業(yè)的影響越來越大，但卻忽視了監(jiān)管應(yīng)由誰來負(fù)責(zé)。

他說：“物聯(lián)網(wǎng)的問題是非常廣泛的。很顯然，需要首席信息官和首席信息安全官的參與，但不一定遵循企業(yè)控制風(fēng)險(xiǎn)的方法。不同的業(yè)務(wù)部門會面臨不同的問題。它可能更像是業(yè)務(wù)功能，而不是合規(guī)或者風(fēng)險(xiǎn)管理功能。”

而企業(yè)可能會得出結(jié)論，保證物聯(lián)網(wǎng)設(shè)備安全是第三方合作伙伴的工作，而第三方則認(rèn)為，責(zé)任在于使用這些設(shè)備的公司。

Miller說：“在管理上一定要明確誰擁有這些物聯(lián)網(wǎng)設(shè)備。是IT部門唯一擁有所有權(quán)，還是與采購或者其他方共同擁有？通常，不是很清楚已經(jīng)連網(wǎng)的設(shè)備的類型和數(shù)量，這就是要求首席信息官們明確的地方。到底有什么，我們需要做什么才能更好地管理？我們不認(rèn)為政策和合同條款涵蓋了一切。顯然，它們需要更新，以涵蓋這類解決方案。”

報(bào)告認(rèn)為，企業(yè)需要更好地了解其供應(yīng)鏈上物聯(lián)網(wǎng)設(shè)備所帶來的固有風(fēng)險(xiǎn)，一定要認(rèn)真對待物聯(lián)網(wǎng)安全，教育各級管理人員，包括董事會成員——從產(chǎn)品開發(fā)的設(shè)備設(shè)計(jì)/構(gòu)思階段就要綜合考慮物聯(lián)網(wǎng)的安全問題。

具體建議包括：

確保包括所有董事會在內(nèi)的所有管理層都具備第三方和物聯(lián)網(wǎng)風(fēng)險(xiǎn)意識。

更新資產(chǎn)管理流程和庫存系統(tǒng)，以便將物聯(lián)網(wǎng)設(shè)備包含進(jìn)來，并掌握所有庫存設(shè)備的安全特性；如果在安全方面不能很好的控制設(shè)備，那么將其替換掉。

如果有必要，針對物聯(lián)網(wǎng)具體要求審查合同和政策，并更新它們，以包括這些要求。

擴(kuò)展第三方評估技術(shù)和流程，以包括針對物聯(lián)網(wǎng)設(shè)備的控制功能。

圍繞物聯(lián)網(wǎng)設(shè)備安全問題，制定具體的外包和采購要求。

設(shè)計(jì)出新策略，采用新技術(shù)以減少物聯(lián)網(wǎng)設(shè)備可能帶來的威脅。

與專家、同行、協(xié)會和監(jiān)管者合作，針對物聯(lián)網(wǎng)風(fēng)險(xiǎn)管理來開發(fā)、溝通和實(shí)施最佳實(shí)踐。

包括董事會、管理層、法人、業(yè)務(wù)部門和第三方在內(nèi)的各級要針對物聯(lián)網(wǎng)做好溝通，建立風(fēng)險(xiǎn)意識，做好培訓(xùn)。

認(rèn)識到您的企業(yè)越來越依賴于技術(shù)來支持業(yè)務(wù)以及這種依賴所帶來的風(fēng)險(xiǎn)。

采用新技術(shù)和創(chuàng)新，但一定要保證基本和核心要求中含有安全控制。

Thor Olavsrud是資深作家，為CIO.com撰寫IT安全、大數(shù)據(jù)、開源技術(shù)、微軟工具和服務(wù)器相關(guān)的文章。

原文網(wǎng)址：

http：//www.cio.com/article/3202398/leadership-management/cios-should-step-into-the-iot-oversight-void.html