中華公司治理協會

NEWS

身處新冠病毒危機如何維持堅強網路安全的態度

【作者】    Tim Rawlins
【資料來源】    Securityinfowatch.com
【發佈日期】    2020年 3月 20日
【介紹者】    閻書孝資深研究員
【審訂者】    邱明志委員
【簡介】

隨著當前營運重心放在保持人員健康、營運持續管理(BCM)以及面對營運中斷時的韌性，許多組織正檢視他們管理網路安全的能力。這是一個明智的預防措施。

在未來幾個月裡，能自始至終設法確保組織運作，將具有挑戰性。就算你有全備的安全人員且董事會全神貫注，要復原還是滿難的。

隨著人員可能明顯耗盡，且高階經理人注意力也許會轉移到他處，這是可以理解的，可能正欠缺對網路相關議題必要的關注。不幸的是，正因我們忙於其他事，但並不表示這段時間，罪犯與其他人就會暫停活動—大量新冠病毒的網路釣魚電郵正四處傳播，而且不管什麼樣的勒索軟體仍保持活動。

因此，你能夠做什麼來確保你的組織仍維持韌性？能夠繼續提供企業服務？

盤點及關注

你應該首先盤點你們目前的活動，並專注於防衛你們的重要資產。預備好敏捷與動態的組織，以最佳可能方式來脫離這個處境，並將那樣的思想灌輸到你自己以及利害關係人之內。

要關注的領域包括：

供應鏈是大多數網路安全團隊一直擔心的事情。由於很難正確評估其他組織的安全效能，因此通常會交由第三方來作風險評估。然而，隨著實施旅行限制，某些評估機構已暫停要求作現場安全評估。因此要注意供應鏈網路安全要求，並且看看能否在狀況改善前暫停實地調查的要求。你可以詢問供應商在此期間如何維持安全，並且鼓勵他們逐步改善其他領域來彌補—增加登入紀錄、漏洞修補改善、確保多重身分認證機制，以及加強自身安全營運中心的活動，這些都會有幫助。還要對供應商進行部分狀況模擬的規劃，以便他們明白短期內，若與今日情況相同或情況變糟時，你期待他們做什麼處理。假設你仰賴多個小企業，它們自然較不具韌性，而且極度依賴主要員工與流程，這可能就特別關鍵。你需要注意先付頭款，或至少在極短期內協助維持小公司的流動性，否則可能很快會遇到他們的現金流量發生問題。
招聘新員工也許是短期內重大問題；如果你無法提供協助、測試、建議及指引，來確保安全考量處置妥當，那可能會讓營運活動陷入風險。某些公司已暫停強制性裁員來減少可用人力，而其他人在情況不明朗時，都駐足觀望沒有動作。這些措施都意味，你所期望招聘的新團隊成員可能無法來公司上班，因此要思考如何透過線上、遠距、兼任及契約型員工，補足人力。
公司內部的安全營運中心，在員工不到班時將面對挑戰，而且當你可能計畫要轉移營運到組織內的第二地點，或計畫要移動到備援站，如許多英國的銀行所做的，你需要測試有空間與能力這麼做。記住，如果運用商業性備援站，再檢查一下你合約內以小字印刷的內容，不然可能的感染可以讓你的合約失效。
對員工而言，在家工作的挑戰很大。重要的是重申經理人有必要注意維持同仁士氣與心理健康。在作者所屬的NCC Group團隊所用的愉快方法，就是每週舉辦一次「遠距團隊午餐」，讓團隊成員花一些時間聚聚。同仁的心理健康一直都很重要，但真的要檢視他們可取得哪些幫助，以及確保他們瞭解組織所提供任何員工協助計畫。
公司治理的延續是很多組織寧可不去想，卻應該根據狀況徹底檢視。單純的營運決策，比如不讓董事會成員親自出席每個月的會議、或限制各營運處所之間的接觸，可能有助於確保組織治理可以度過難關。許多高階經理人未來會被指定為有法定責任、取得銀行授權、代表公司簽字的權力等，以及互為代理人。不過在旅行限制與因病缺席之下，你自己真的可以充分地自由移動，繼續能核准投資、簽字通過預算及支付發票款項嗎？如果資深經理人，特別是具法律責任與財務義務的人生病、無法達成要求時，該如何處理？授權代理人或替代人或許可確保組織在壓力下仍能維持營運。像股東會之類的集會，也許需要以其他方式組織起來，但仍需要達法定人數；有些事情早點請教你的法律顧問與公司治理專家比較好。

艱困的狀況或許還會持續數個月，而且隨著病毒目前在不同國家擴散，衝擊似乎會在不同時間點，影響當地的運作。無論你的規劃預設到那裏，有個可信賴的顧問、具備全球營運與經驗、提供所有階層的安全服務，是非常值得考慮的。

【網址連結】
https://www.securityinfowatch.com/security-executives/article/21130622/how-to-maintain-a-strong-cybersecurity-posture-amid-the-covid19-crisis

BACK PAGE