小公司仍然相信的網絡安全神話 - 彭博社

攝影由Getty Images提供在 Target、 Home Depot 和 JPMorgan Chase 的高調數據泄露事件使得網絡安全成為大大小小公司的議程。但儘管媒體持續評論和“最佳實踐”備忘錄，Third Creek Advisors的顧問亞當·埃普斯坦指出，小型公司的董事會成員以及那些考慮或準備首次公開募股的公司仍然被這個話題上持續存在的神話所困擾。

這些困惑的公司包括許多硅谷的公司，在那裏人們本應期待找到更多的技術精英，他説。我請埃普斯坦，這本關於公司董事會的如何做的 書 的作者，寫出一個關於董事們認為他們瞭解但實際上並不瞭解的網絡威脅的入門指南。以下是他的免費建議：

1. 網絡泄露是可以預防的。 不，它們並不是。泄露是何時發生的問題，而不是是否發生的問題。正如安全專家湯姆·裏奇最近在我與他在 的採訪中提到的，在 Directorship 雜誌中，你的網絡可能已經被泄露。如果年收入達到九位數的財富50強公司都無法防止泄露，那麼你也無法做到。有效的網絡安全更多的是關於識別公司的“皇冠珠寶”，儘可能讓它們難以離開大樓，並制定一個周到的計劃以應對泄露後的恢復。

2. IT團隊正在處理此事。 不，可能不是。董事會的網絡安全監督通常包括邀請IT負責人定期就公司的防火牆和殺毒軟件進行演示。缺乏安全專家的情況下，大多數董事會在聽到IT更新時會集體鬆一口氣。不幸的是，網絡安全僅部分是IT問題。這也是企業文化、員工培訓和物理安全的問題。你需要擔心 不滿的員工 和你的供應鏈，更不用説你剛收購的那家小公司了。這遠遠超出了IT的範圍。

3. 網絡盜竊與信用卡有關。 在過去幾個月裏，我諮詢了幾個董事會，其成員表示，由於他們的企業不存儲或處理信用卡數據，因此這一領域不值得擔憂。錯了。網絡盜賊的目標各異，從半善意的混亂到間諜活動，再到挪用和恐怖主義。信用卡信息當然是一個目標，但個人信息、知識產權、戰略備忘錄、客户名單和其他非公開信息也是目標。

4. 始終立即披露網絡入侵。 雖然想要在泄露事件發生前主動出擊並自願披露是值得讚賞的，但這有時會使董事會處於不利地位。考慮一下Target的泄露事件，在每次 新聞發佈 中，危機的規模和性質都顯著擴大。惡意軟件在被檢測後可能會變異並造成進一步的破壞。董事會首次收到的關於泄露的信息往往不準確且不全面，因此要謹慎，以免通過自願錯誤陳述來使危機複雜化。

5. 不用擔心，我們有保險來應對這個。 很多所謂的網絡保險都是基於一份三頁的申請表，這份申請表幾乎沒有涉及到貴公司的計算機網絡架構、物理和數據安全協議以及企業風險文化的質量和範圍。最終的保險覆蓋通常是不夠的。大量的網絡保險政策 排除 的內容比覆蓋的內容還要多。確保在對貴公司進行廣泛、知情的安全評估後再承保，而不僅僅是通過電子郵件發送的標準化表格。

祝好運。你也需要這個。