首席信息官應涉足物聯網監管空白

Thor+Olavsrud++Charles

物聯網的應用使業務面臨重大的安全風險，但很多高管們并不理解物聯網監管的重要性，特別是第三方實施的情況。這是首席信息官們嶄露頭角的好機會。

如果您覺得自己的企業正在認真地監管第三方實施的物聯網，那么請再好好想一想是不是這樣。安全研究公司Ponemon研究所最近聯合“共同評估計劃（Shared Assessments Program）”進行了一項調查，研究表明，企業董事會基本不會要求對第三方實施的物聯網進行風險評估，這就給首席信息官在物聯網領域發揮領導作用提供了很好的機會。

Santa Fe集團管理“共同評估計劃”，這一業界標準組織的工作重點是第三方風險擔保，該集團主席兼首席執行官Catherine Allen說：“從我們的研究結果看，只有25%的受訪者說他們的董事會要求在物聯網風險評估、管理和監控方面做出擔保。這就給董事會教育和最佳實踐監管帶來了機會和需求?！?/p>

研究報告《物聯網（IoT）：第三方風險的新時代》發現，94%的受訪者認為沒有任何安全措施的物聯網設備和應用導致的安全事件對業務造成的后果是災難性的——業務會出現明顯的中斷，相比之下，只有四分之一的董事會要求對物聯網風險監管進行升級。

“共同評估計劃”的資深副總裁Charlie Miller認為，這兩項調查結果表明，企業技術人員與管理層和董事會在理解上存在差距。

Miller說：“我們認識到中下管理層上存在風險。可以說，信息實際上并沒有在整個鏈條上傳導下去。災難性事件隨時有可能發生，但董事會和管理層不會對風險進行處理。首席信息官們要把這些信息呈現給相關管理層，向他們闡述清楚，以便有效地處理風險——在這方面，他們還面臨很大的挑戰。”

這一研究基于對553名首席信息官、首席信息安全官、首席風險官以及在風險管理過程中相關人員（在一系列行業中）的調查，研究發現：

76%的受訪者認為，在未來兩年內很有可能出現對沒有任何安全措施的物聯網設備進行分布式拒絕服務攻擊。

69%的受訪者并沒有及時通告其首席執行官和董事會關于第三方風險管理計劃的執行情況。

只有44%的受訪者說他們的企業有能力保護自己的網絡或者企業系統免受有風險的物聯網設備帶來的攻擊。

77%受訪者并沒有在第三方盡職調查中考慮與物聯網相關的風險。

67%受訪者在拓展業務關系之前并沒有評估物聯網安全和相關隱私措施。

Ponemon研究所創始人兼主席Larry Ponemon說：“越來越多的企業轉向采用物聯網讓業務更有成效，這也導致滋生了大量的網絡攻擊。這些調查結果令人震驚的是，有的部門完全沒有認識到第三方安全漏洞對企業造成的影響有多嚴重，而且部門之間缺乏準備和溝通?！?/p>

Ponemon說，部分問題是物聯網在很多方面對企業的影響越來越大，但卻忽視了監管應由誰來負責。

他說：“物聯網的問題是非常廣泛的。很顯然，需要首席信息官和首席信息安全官的參與，但不一定遵循企業控制風險的方法。不同的業務部門會面臨不同的問題。它可能更像是業務功能，而不是合規或者風險管理功能?！?/p>

而企業可能會得出結論，保證物聯網設備安全是第三方合作伙伴的工作，而第三方則認為，責任在于使用這些設備的公司。

Miller說：“在管理上一定要明確誰擁有這些物聯網設備。是IT部門唯一擁有所有權，還是與采購或者其他方共同擁有？通常，不是很清楚已經連網的設備的類型和數量，這就是要求首席信息官們明確的地方。到底有什么，我們需要做什么才能更好地管理？我們不認為政策和合同條款涵蓋了一切。顯然，它們需要更新，以涵蓋這類解決方案。”

報告認為，企業需要更好地了解其供應鏈上物聯網設備所帶來的固有風險，一定要認真對待物聯網安全，教育各級管理人員，包括董事會成員——從產品開發的設備設計/構思階段就要綜合考慮物聯網的安全問題。

具體建議包括：

確保包括所有董事會在內的所有管理層都具備第三方和物聯網風險意識。

更新資產管理流程和庫存系統，以便將物聯網設備包含進來，并掌握所有庫存設備的安全特性；如果在安全方面不能很好的控制設備，那么將其替換掉。

如果有必要，針對物聯網具體要求審查合同和政策，并更新它們，以包括這些要求。

擴展第三方評估技術和流程，以包括針對物聯網設備的控制功能。

圍繞物聯網設備安全問題，制定具體的外包和采購要求。

設計出新策略，采用新技術以減少物聯網設備可能帶來的威脅。

與專家、同行、協會和監管者合作，針對物聯網風險管理來開發、溝通和實施最佳實踐。

包括董事會、管理層、法人、業務部門和第三方在內的各級要針對物聯網做好溝通，建立風險意識，做好培訓。

認識到您的企業越來越依賴于技術來支持業務以及這種依賴所帶來的風險。

采用新技術和創新，但一定要保證基本和核心要求中含有安全控制。

Thor Olavsrud是資深作家，為CIO.com撰寫IT安全、大數據、開源技術、微軟工具和服務器相關的文章。

原文網址：

http：//www.cio.com/article/3202398/leadership-management/cios-should-step-into-the-iot-oversight-void.html