小公司仍然相信的网络安全神话 - 彭博社

摄影由Getty Images提供在 Target、 Home Depot 和 JPMorgan Chase 的高调数据泄露事件使得网络安全成为大大小小公司的议程。但尽管媒体持续评论和“最佳实践”备忘录，Third Creek Advisors的顾问亚当·埃普斯坦指出，小型公司的董事会成员以及那些考虑或准备首次公开募股的公司仍然被这个话题上持续存在的神话所困扰。

这些困惑的公司包括许多硅谷的公司，在那里人们本应期待找到更多的技术精英，他说。我请埃普斯坦，这本关于公司董事会的如何做的 书 的作者，写出一个关于董事们认为他们了解但实际上并不了解的网络威胁的入门指南。以下是他的免费建议：

1. 网络泄露是可以预防的。 不，它们并不是。泄露是何时发生的问题，而不是是否发生的问题。正如安全专家汤姆·里奇最近在我与他在 的采访中提到的，在 Directorship 杂志中，你的网络可能已经被泄露。如果年收入达到九位数的财富50强公司都无法防止泄露，那么你也无法做到。有效的网络安全更多的是关于识别公司的“皇冠珠宝”，尽可能让它们难以离开大楼，并制定一个周到的计划以应对泄露后的恢复。

2. IT团队正在处理此事。 不，可能不是。董事会的网络安全监督通常包括邀请IT负责人定期就公司的防火墙和杀毒软件进行演示。缺乏安全专家的情况下，大多数董事会在听到IT更新时会集体松一口气。不幸的是，网络安全仅部分是IT问题。这也是企业文化、员工培训和物理安全的问题。你需要担心 不满的员工 和你的供应链，更不用说你刚收购的那家小公司了。这远远超出了IT的范围。

3. 网络盗窃与信用卡有关。 在过去几个月里，我咨询了几个董事会，其成员表示，由于他们的企业不存储或处理信用卡数据，因此这一领域不值得担忧。错了。网络盗贼的目标各异，从半善意的混乱到间谍活动，再到挪用和恐怖主义。信用卡信息当然是一个目标，但个人信息、知识产权、战略备忘录、客户名单和其他非公开信息也是目标。

4. 始终立即披露网络入侵。 虽然想要在泄露事件发生前主动出击并自愿披露是值得赞赏的，但这有时会使董事会处于不利地位。考虑一下Target的泄露事件，在每次 新闻发布 中，危机的规模和性质都显著扩大。恶意软件在被检测后可能会变异并造成进一步的破坏。董事会首次收到的关于泄露的信息往往不准确且不全面，因此要谨慎，以免通过自愿错误陈述来使危机复杂化。

5. 不用担心，我们有保险来应对这个。 很多所谓的网络保险都是基于一份三页的申请表，这份申请表几乎没有涉及到贵公司的计算机网络架构、物理和数据安全协议以及企业风险文化的质量和范围。最终的保险覆盖通常是不够的。大量的网络保险政策 排除 的内容比覆盖的内容还要多。确保在对贵公司进行广泛、知情的安全评估后再承保，而不仅仅是通过电子邮件发送的标准化表格。

祝好运。你也需要这个。