如何应对互联网“幽灵”的威胁(第1页)
在2012年1月15日,时任热门鞋类电商捷步(Zappos.com)执行总裁的谢家华(TonyHsieh)给员工发了一封电子邮件。信中说,公司遭遇了黑客的网络攻击,黑客通过公司位于肯塔基州的服务器访问了公司的内部网络和系统,这封电子邮件稍后被发布到网上。在向员工披露这个坏消息后还不到一小时,谢家华向受到黑客入侵事件影响的2,400万顾客发送了另一封电子邮件,告知他们其个人数据已经泄露,包括姓名、账户号、已加密的密码、电子邮件地址、账单和发货地址、电话号码和信 用卡的最末四位数字。
尽管捷步披露了这起安全事故并与执法部门合作,但其母公司亚马逊很快就遭到起诉。次日,肯塔基州西区地方法院受理了起诉亚马逊的集体诉讼案。根据起诉文件,原告要求由陪审团审判,并以集体诉讼的成员会面临更大的身份窃案的风险为由要求赔偿,每人索赔金额从100美元到1,000美元不等,同时要求对方承担律师费和诉讼费用。
互动话题:您关注企业信息安全吗?
亚马逊曾经面对的这个情境如今已成为越来越多上市公司和组织都知道的数据安全案件中的一例。捷步的案件凸显出了一点—网络安全事故也能给原本健康的公司造成重大威胁。每天出炉的有关数据泄露案的新报道都提醒着世界各地各企业的董事们和管理层所面临的潜在危险,强调了加强网络安全—从数据保护、控制到危机响应—的需求。
这方面会让企业付出高昂的代价。首先是成本问题。根据总部设在密歇根州的咨询公司PonemonInstitute在2011年对50个组织进行的调研,网络犯罪年平均成本的中位数为每年590万美元。该公司会进行与隐私、数据保护和信息安全方面的调研。在受访企业中,这方面支出的成本最低为150万美元,最高为3,650万美元。
了解泄密事件的深远影响
然而,除了短期的财务损失之外,组织在商业秘密和品牌损害方面的损失要大得多。“如果他们没有意识到,也没有做准备,即使是声誉良好且品牌拥有巨大价值的公司也可能因此在一夜之间名声扫地,”美国纽约南区地区检察官普里特·巴拉拉(PreetBharara)说。
德汇律师事务所(Dorsey&Whitney)纽约办公室的一位律师兼Marsh&McLennanCos.合规委员会主席扎卡里·卡特(ZacharyCarter)说,数据损失会对客户产生深远的影响。网络安全事件的发生会导致更严重的长期后果,他警告说,“这可是损害业务关系的事件。”
极端一点说,即使是不作为也能让公司被淘汰。“无法应变的公司是生存不下去的,”位于弗吉尼亚州麦克林市的普华永道司法鉴定服务业务的合伙人大卫·伯格(DavidBurg)说。
根据最近的一份调研,尽管有这么多警告信号,在治理隐私和数字资产安全的时候,企业的高管人员还是没有使用最佳实践。根据卡内基梅隆大学专门研究网络安全的CyLab(网络实验室,全美著名的资讯安全教育中心—编者注)在2012年进行的企业治理调研,《福布斯》全球2,000强公司中,只有23%的企业董事会会定期审查和批准与隐私及信息技术风险相关的最高级别的政策。28%的受访企业偶尔会审核这方面的政策,但也有42%很少或根本不在这方面努力。
约翰·里德·斯塔克(JohnReedStark)是美国证券交易委员会(SEC)网络执法办公室的前负责人,以及专门处理网络安全事件的风险管理咨询公司StrozFriedberg在华盛顿特区办事处的负责人。他说,他与中层管理者的合作经常让他觉得企业的董事会并未有效地参与。
“你不能就这么看着IT人员说,‘我们公司的技术人员是你,你一定能处理这次的数据泄露,’”他说,“这种想法是不对的。数据泄露和这些入侵活动要比过去复杂得多。”
他说,考虑到网络攻击的复杂性,IT部门常常会感到心有余而力不足。“就好比让会给你的车换机油的人去诊断变速箱的某个严重问题,”他说,“其中所需技能是不同的。”
应对黑客入侵和其他IT风险
不管企业有多担心,关于数据泄露的坏消息还是变得越来越多。网络安全事故基本上已经成了流行病。大多数知名公司都曾遭遇黑客攻击、数据盗窃或丢失数据。在个人纪录丢失或泄密方面最大规模的安全事件中,不乏《福布斯》1,000强公司的身影,例如TJXCos.(T.J.Maxx零售连锁的所有者)以及西尔斯罗巴克(Sears,RoebuckandCo.)、索尼、哈特兰支付系统(HeartlandPaymentSystems)、维萨(Visa)、万事达(MasterCard)、美国运通(AmericanExpress)、T-Mobile、谷歌、洛克希德马丁(LockheedMartin)、花旗集团(Citigroup)和摩根大通(JPMorganChase)等公司。遭受黑客荼毒的还包括美国政府机构,包括司法部、五角大楼和白宫。
“没有任何行业、企业和个人能够高枕无忧,”Torrenzano集团的CEO理查德·托伦扎诺(RichardTorrenzano)说,他的公司与受到黑客攻击的公司合作进行危机管理。
除了黑客入侵外,网络安全事件还包括常规威胁,例如笔记本电脑被盗、内部人员欺诈、文件销毁—甚至还包括从不经意间散布到公共网站上的信息中提取出的数据。
在另一项衡量网络安全事故频率上升的指标中,接受Ponemon调研的50家公司在2011年每周72次被黑客成功入侵—平均每个组织遭遇1.4次,比2010年增加44%次。重要的刑事案件涉及恶意代码、拒绝服务(DoS)攻击、盗窃和劫持设备以及恶意内部人士。
准备迎接巨变
黑客入侵现在已经变得太容易了,互联网上有免费的黑客软件,还有YouTube视频提供指导。网络攻击的来源既有意在求财的组织严密的全球化犯罪团伙,也有所谓的“黑客活动家”(hactivist),这些人把侵入企业服务器(包括拒绝服务攻击)当作进行抗议的手段。
尽管过去的黑客攻击范围更广泛,现在各路黑客专盯某一类人—最有可能暴露于攻击之下且手握大量数据的人—例如CEO、行政助理和董事。后者对黑客来说简直是大肥羊,因为他们常常任职于不止一家公司。“黑客往往很轻易就能入侵特定人员的账户,再针对他们拥有的资产下手,”里什·贝希(RichBaich)说,他是德勤(Del上海印刷公司oitte&Touche)位于北卡罗莱纳州夏洛特市办事处的一位专门处理企业安全和隐私的合伙人。
“真正的问题是,坏人的技术和技巧进步得比好人快,”TeleTechHoldings的审计委员会主席和太阳信托银行(SunTrustBanks)董事威廉·林内布林格(WilliamLinnenbringer)说。
优先重视网络风险
甫瀚咨询(Protiviti)纽约公司董事总经理兼IT安全和隐私实践负责人贾尔·斯莱普(CalSlemp)说,公司必须确保优先重视网络风险。“你在尝试维护内部使用或公开信息的安全方面所投入的时间、精力和资金应当比你投入在关键或敏感信息方面的多,他说,你应当对这些投入区别对待,更多地保护更重要、更敏感的信息。”
巴拉拉说,企业应当消除危害最大的网络接入点。“黑客或者想要通过计算机系统搞破坏的人会选择最疏于防范、最容易被当作目标的公司,这是常识,”他说,“他们要做的就是沿着走廊一直走,看看哪些门没锁。保护措施的目的就是为了确保尽一切可能让这些门时刻上锁。”
总部位于达拉斯的电子邮件加密公司ZixCorp的副总裁、法律总顾问和法务秘书吉姆·布拉希尔斯(JimBrashear)说,高管和公司领导者需要询问的问题与其他风险领域相同。这些问题应当覆盖披露、信誉、风险管理、黑客入侵、合同以及数据泄露问题。例如:你有什么数据泄露的响应预案?现有信誉管理预案是什么样的?你针对技术支持关闭事件所导致的收入损失参加了什么样的保险计划?
此外,公司应当时刻做好准备对危机进行快速响应。托伦扎诺把飞速运行的互联网中的一天定义为8个小时,因此动作迟缓的公司内48小时的响应时间几乎相当于在数字世界的时空中等上一个星期。他说,关键的公司高管应当接受训练,以快速响应互联网攻击,包括法务、人力资源、市场、销售、通讯和投资人关系部门的管理者。
管理层还需要考虑如何与政府机构合作。“人们需要培养尽早披露和与执法机构沟通的文化,”巴拉拉说,“挽救一家公司—和避免给一个甚至更多行业的其他人带来巨大损失—的最快方法就是让执法部门有能力抓住那些坏蛋。如果公司都立刻通知执法部门就能最大限度地提高这种可能性。”
“我们能理解,各公司过去都多少有些不情愿直接向执法机构求助,”巴拉拉说,“但我们法庭的检控官和调查员都对与企业网络安全相关的问题高度敏感,并且对他们的遭遇特别能够感同身受。”
总之,专家说,网络安全的问题可归纳为风险管理的常理。如果企业体制比较稳固,会审查公司的所有风险,任何重要问题—从网络问题到合规问题&md品牌定位公司ash;都能够自然地得到董事会的关注。
“如果你的企业风险管理流程 真的很强大,这些类型的风险—如果这些风险真的即将爆发—应当向上报告,并得到整个管理层的关注,”PetSmartInc.的审计主席兼DoverCorp.和LowesCo.的董事理查德·洛赫里奇(RichardLochridge)说,“你应当重点关注你认为风险较高且可能给公司带来潜在危害的问题。你必须把精力集中到能令你受益最大的地方。”
普华永道的伯格说,事实上最精明的公司可以利用网络安全作为超越对手的工具。“网络和现实安全过去通常都被视为成本,”伯格说,“如今,网络安全已经变为企业战略、品牌保护和企业长期生存的中心。具有先发制人思维的董事会和高级管理人员都有丰富经验并理解这些问题,还会很快发现保护公司的机会。”
原文经许可,摘自Charles Keenan发表在Corporate Board Member杂志2012年第二季度第十五卷第二期上的The Invisible Threat一文。Corporate Board Member于2012年登记版权。秦岭译。
本中文版由世界经理人(www.ceconline.com)组织翻译并编辑。
相关案例
Related cases
热泰能源科技冷水机品牌全案策划|冷水机品牌策划品牌形象设计
正新集团饮料品牌策划全案|饮料气泡水品牌全案策划包装设计
潍坊餐饮品牌全案策划|烧烤品牌全案设计|老字号烧烤店-山东谭氏烧烤品牌全案策划
隐形眼镜品牌全案策划,品牌战略表现,超级符号,超级话语,话语体系规划设计
教育品牌全案策划-北京金峰练字品牌形象设计升级策划上海
餐饮品牌品牌升级:掘金连锁餐饮行业策划,品牌设计战略伊秀日本料理
相关文章
Related articles
新锐中式滋补品牌应该如何打入国内市场?
- 2022/05/10优秀的品牌整合设计:上海最好的品牌设计公司,最好的品牌策划公司?...
- 2022/05/10视觉品牌设计:你心目中的品牌主视觉KV设计是什么...
- 2021/07/27上海品牌建设策略公司--以品牌开拓市场...
- 2021/03/15集团企业品牌建设需要以什么为导向...
- 2020/10/18企业文化建设分哪几个阶段?做企业文化策划的公司...
- 2020/10/18企业文化建设内容主要包括...
- 2020/10/02企业文化策划-企业文化背后的故事...
- 2020/10/02企业文化整合的原则-如何进行企业文化策划:重任、企业愿景和价值观念...
- 2020/09/30企业文化策划原则-企业文化策划的几大要素...
豪禾品牌资讯
brand information
- vi设计
- logo设计
- 海报设计
- 导视系统
- 包装设计
- 企业宣传片
- 公关策划
- 网站设计
- IP吉祥物
- 品牌策划
- 产品营销
- 互动行销
- 创意设计
- si空间
- 餐饮品牌
- 抖音运营
- 美妆品牌
- 品牌命名
- 品牌定位
- 品牌诊断
- 品牌建设
- 品牌百科
- 设计前沿
- 时尚热点
- 豪禾动态
- B2B品牌战略
品牌咨询
细分市场行业标识
打造全新的品牌视觉形象
在线品牌咨询
最新案例推荐
Related cases
最新资讯推荐
related information
五力合一,八大机关:上海产品包装设计策划的关键要素
- 2024/01/08找到真因,才能解决问题-问题即答案...
- 2023/12/18上海宣传片拍摄的五大挑战与应对策略...
- 2023/12/17预制菜品牌策划:从场景化营销到数字化新零售...
- 2023/12/10集团品牌vi设计_集团品牌VI设计打造行业领先形象...
- 2023/12/07熊猫不走:爆款产品蛋糕的互联网玩法...
- 2023/12/07上海企业宣传册设计...
- 2023/12/04营销型画册设计策划的5916方法论...
- 2023/12/04包装设计过程从产品包装的诞生看各工种配合...
- 2023/12/04独一炉:餐饮品牌vi设计 炉火炖鸡汤 营养又健康...
化妆品包装设计的影响
- 2018/08/23房地产vi设计的几大重点...
- 2022/07/06农产品包装设计比较好的公司(特色农产品包装设计方案)...
- 2016/02/02上海公关策划公司——品牌的铸造师...
- 2021/03/23公司新视觉形象设计的主要方法...
- 2017/03/19环保包装设计的构图要素及设计要素...
- 2016/02/02上海视觉设计怎样吸引大众目光...
- 2017/12/02品牌设计公司排名哪家性价比高...
- 2017/06/28商场导视系统设计是如何制定的...
- 2019/12/31休闲食品品牌设计什么公司做的不错...
国家博物馆展厅设计怎么做?国家博物馆展厅设计公司推荐
- 2021/09/07上海整合营销公司--为用户开拓商品市场...
- 2017/10/24自己设计logo没创意 logo设计公司帮你搞定...
- 2021/08/10南京展览设计公司--提供高质量的展会场所...
- 2019/01/16字母标志设计怎么做才更具有美观度...
- 2016/09/02做设计的姑娘长发飘飘长得这么漂亮这正常吗?...
- 2016/10/10Buyán Apartments品牌设计...
- 2022/02/15餐饮品牌VI设计选择什么样的公司比较合适?...
- 2015/08/17品牌策划的重要意义...
- 2022/04/07彩妆品牌策划公司(上海品牌策划公司排行榜)彩妆vi设计...