CFA持证人:投资公司如何做好应对预案
2018-10-24cfa
CFA持证人:投资公司如何做好应对预案:根据CFA Institute今年发布的报告《Investment Firmofthe Future》(未来投资公司),24%的受访者把网络安全列为公司内优先级最高的技术重点。未来,CFA考试随着科技在投资管理过程中发挥更大作用,这个比例会只增不减。
.jpg)
.jpg)
CFA Institute为此专访Ascendant合规管理CSS公司的网络安全专家E.J.Yerzak先生,就如何防止网络攻击发生,以及发生攻击时如何有效回应寻求专业建议。一言以蔽之,当有备无患。
网络野蛮人已经兵临城下,最佳的御敌之策是什么?
黑客无处不在。在很多情况下,他们已经潜入,这是公司需要注意的。
不能临时抱佛脚,检测到网络危机事件的时候并不是准备应对计划的时候。当触及州立或国际触的数据泄露通报期限时,“时间”问题非常关键。欧盟的《通用数据保护条例》(GDPR)要求通报时间为72小时以内。而鉴于网络事件中往往需要很长时间来确定究竟发生了什么、可能危及什么、什么文件或文件夹可能被读取以及事件起始时间段,这个时间短得难以置信。
攻击到底是什么时候开始的?黑客还在系统内吗?这类调查需要很长时间才能搞明白——通报泄露事件的期限这么短,其实是增强了对事件响应计划和提前准备的要求,而不是在泄露或网络事件发生之时抱佛脚。
为了不在危机发生时阵脚大乱,必须提前制定应对预案,并反复测试有效性,才能有备无患。
许多公司缺乏忧患意识,他们借口:“我们没风险。”“我们是家小公司。根本不是黑客的目标”或者“我们是大公司,技术控制可靠到位,黑客更可能去攻击那些没有安全防护的小公司”。我认为,这些公司可能都错误计算了自己的风险敞口。真相是:我们都面临风险。
抛开公司规模不谈,假设已经投入了时间和精力准备风险应对方案,当网络安全事件真的发生时,这些预案有多大效用?
如果你想说危机爆发时这些准备方案都“形同虚设”,这绝对是有道理的。因为大敌当前一片慌乱时,能联系到人、找到相关方,甚至开个一次电话会议,都可能有难度——面临的压力太大了。
但这些是提前要准备的重点。预测出每种可能的场景或网络安全事件的类型基本上是不可能的事。所以,要为最有可能的情况做准备,给可能尚未预料的情况保留一些灵活性。行动计划应该至少坚定执行,不要有太多倾向性。
我重申这个重要性的另一个原因是:正如我刚才说的,危机关头压力如山,需要紧急处理,因此最好未雨绸缪,毕竟解决问题的时间十分紧迫。你不希望自己判断失误,也不愿看到你的团队因为缺乏沟通,分别提出了一模一样或者完全相左的意见。而当沟通泄露事件时,你不希望当客户经理还在向客户做着解释,而市场营销部门已经在给所有客户起草一个统一的事件声明。
为什么在形势紧张、同时有很多事务都需要优先处理的情况下,危机应对计划可以在实际的网络安全事件中发挥作用?举个例子,CTO可能想关闭系统以防止黑客跳到其他系统,而CEO可能想让系统继续运行以避免客户遭遇服务暂停。当多个利益相关方要求做决策,公司还要处理商业和监管影响时,响应时间非常重要。
如果你不想浪费宝贵时间去寻找法务的电话号码或者IT供应商的联系人信息,一个记录在案的应对能减少这方面的压力,至少可以在各种危机情况发生时做到有章可循;同时在应对中保持灵活性,来处理独特的情况。总之,既然不能为每种情况都做准备。那就为最有可能的情况做准备,用文档统一记录所有相关信息,例如联系信息,以便查询使用。
一家公司的危机处理团队该由哪些人组成?
很多公司都苦于这个问题的答案。危机处理团队应该是一个人还是两个人?应该是大的委员会构架吗?——根据公司大小、基础设施、安排和供应商关系,这个答案都会有所不同。有的投资公司内有专门的IT员工,有的则外包大部分IT,无法一概而论。
至少,组成危机应对团队的人都应该是关键的决策者。他们应该能获取必要的信息,以做出应对决策;同时可以授权做这些决定。例如,至少让CEO,最有可能是CCO(首席合规官),负责运营的人(如COO),以及技术职位的人(CTO或CSO)加入,让团队里首席层面的管理者来启动这个过程。有人需要得到授权来启动事件的应对流程,让团队成员在各自领域进一步采取措施,需要时还可让其他利益相关方加入。
事件应对团队成功的关键是团队的延展性。公司对团队组成犹豫不决的原因之一是,希望能够预测到每种类型的事件。提前决定在每种可能情况下谁可能需要作出决策是很困难的。相反,设计应对计划时预留好将来引入更多资源的可能性即可。
在事件应对计划中常见的例子是:有核心的事件应对团队,需要时引入公司的首席法律顾问或外部法务,以及公司的系统管理员或某个IT供应商,他们会协助调查泄露事件。
除了公司常用的供应商,还该包括哪些第三方?
聘请一个长期稳定的专业法律顾问,在隐私泄露和泄露应对方面有特定的专业技能。事件发生时可能第一个电话就是打给律师,以保护在适当权限下的进一步沟通和讨论。
还有,我建议聘请一家刑事调查公司,协助检查网络上的文件,还原发生事件,以及哪些文件被黑客获取。
一般来说,这些供应商希望提前做好沟通,这样可以有时间熟悉公司的系统和网络,而不是当火烧眉毛的时候才去找他们——那样的话肯定费用不菲,毕竟人家要放下手头的一切工作,赶到你的公司检查系统。所以,提前谈妥还能节省预算。
最好有家公关公司,至少要在心里物色好,来帮助草拟任何面向公众的信息,不论是针对客户、监管者或者股东的。总之,针对事件的对外沟通传播一定要妥当,否则将面临失去很多客户的风险。
此外,要有当地和联邦执法人员和部门以及区域机构的联系信息。如果是一次重大事件,或者涉及大规模黑客侵入企图,就可以在时机适当的时候借助执法力量。
在“硝烟弥漫”的时刻,如何确定应对优先级?
在网络安全事件中,多数压力来自组织内部和公司广大利益相关方相互竞争的优先事项。我之前提到过,CEO可能想让系统运行,而CTO会说,“不行,我们得把一切都关掉,防止恶意软件或勒索软件传播,这样才能防止数据进一步被窃取。”
谈到优先级,建议公司通盘考虑所有业务和监管风险。比如,响应行为超过某个时间范围是否会面临财务惩罚?
总体来说,每个人都要关注普遍的合规风险。例如,除了证券交易委员会,是否有其他法律上的要求?联邦调查局会要求采取某些措施吗?法务呢?如果公司有网络保险,保险公司会要求采取某些措施,不然就不予理赔?这些是要优先考虑的事项。
如果我要优先考虑一个或两个行动,那么第一个电话应该打给法务,第二个电话打给网络安全保险公司。至少让他们掌握动态,告诉他们你当时了解的信息。
尽量多、尽量快地识别出需要沟通的信息,至少要能告诉法务和保险公司,泄露是如何发现的、哪些信息可能被窃取、以及公司是如何注意到的。哪怕没有掌握所有事实,提前沟通也很重要。
能模拟预演这些网络危机应对预案吗?
网络危机应对预案如果没有经过演练,往往是纸上谈兵。虽然我们不能预测所有发生的情况,但是,你是否对所有可能的情况做过预想?
检测危机应对计划一个简单易行的方法,是在员工中进行钓鱼测试。这些测试能加强防御,提高员工的安全意识,防止相关问题发生。钓鱼测试也能帮助公司体验一个可能发生的勒索软件侵入系统的过程。其中首先考虑的一步应该是:断开系统了吗?让IT部门来实时调查发生了什么吗?何时开始与客户沟通的?
预演时你应该想到很多可能的突发状况。比如,在实施应对预案时,有客户打电话质问为何无法在线登录账户。当客户在电话里要求马上回应,而市场部尚未准备好公开回应的内容,这种情况下怎么办?类似这些问题都要提前集思广益。
演练危机应对预案的一个很好的方式是让公司不同部门和各方人员都参与进来,让大家都有所体会。我一直强调,危机应对是每个人的责任。这不仅是IT或高管才会面临的情况,每个雇员都可能处在发现并帮助阻止信息泄露的岗位上。
最近发生的网络攻击有怎样的前车之鉴?
最近数起网络攻击已经凸显了供应商要更加尽职的必要性。我们从Target超市和其他公司所遭受的黑客攻击中发现,企业和第三方供应商之间的互相关联有可能会带来难以预料的影响。
如果有人入侵了供应商的系统,这对其他利益相关者有影响吗?如果投资公司的第三方供应商遭到黑客入侵,或被用为跳板攻击其他各方,会构成风险吗?
故话重提,作为第三方的小公司有时觉得他们不是目标,但是小公司可能被黑客入侵,黑客会使用他们的系统攻击其他公司,以掩盖攻击来源或者做到不被发现。公开的泄露事件已经显示出:供应商可以构成威胁。
这也表明公司的公关计划要到位,这一点十分重要。以错误的方式发出信息会对业务的持续生存造成严重后果。
攻击事件发生后应该如何向外界沟通?
沟通口径要一致。在发出公开声明之前,内部协调统一所有信息。
描述事件的措辞要非常严谨。除非真实存在泄露的情况,否则不要轻易使用泄露这个词。美国各州的规定已经定义了什么情况下构成一个应当做出汇报的泄露事件。一旦定性为“泄露”,这意味着具有法律意义上的决定。公司必须慎之又慎。在如何措辞表述网络攻击事件的性质时,要在信息和沟通上非常谨慎。
很多情况下,公司会将其描述为一次事故、事件或被发现的黑客行动。一旦你使用泄露这个词,就会涉及到通报问题。
对公司的寄语?
公司的危机应对计划要不停地修订。黑客很有可能已经在公司网络上伺机而动。要居安思危,没有安全事件发生的时期越长,在突发危机时公司越有可能措手不及。如果你认可了CFA,那么请点击:FRM考试如何报名,一图读懂
本文编译自 CFA Institute Enterprising Investor 主题博客 Cybersecurity: The Barbarians Are at the Gate 一文。作者 Paul Kovarsky, CFA。文章仅代表作者本人观点,不应被视为投资建议,
L I V E
-
CFA90天冲刺计划|CFA EXAM 90 day sprint plan
Download Now
-
CFA城市福利政策|Urban welfare policies regarding CFA
Download Now
-
Certificate
Receive a shareable digital badge and printable certificate upon finishing all courses and passing the final assessment.
-
Study time
70-90 hours to complete
-
12-month access to coursework
Online self-paced All coursework can be completed online at you
-
Interested in team or group purchases?
Submit an inquiry and one of our specialists will contact you to discuss.
