除非贵公司的架构罕见,以至就地避难、居家隔离和关闭“非必要”业务场所等措施不会对贵公司造成影响,否则您必须开始着手重新审视某项计划的运作和实施方式。
在一些情况下,由于突然需要在家办公,企业亟需采购数十台甚至数百台笔记本电脑。为了成百上千名员工能顺利进行远程访问,互联网带宽和电信硬件须大幅升级,因此可能需要与能够满足公司要求的新供应商快速建立关系。管理层需要在停止运营和省略掉用于检查内部和供应商安全的协议之间做出选择,而通过远程工作维持运营又是他们最基本的职责,因此他们的做法是可以理解的。
然而,为了保持运营而忽略公司为保护其网络安全而制定的所有标准,最终极有可能导致灾难。举例而言,如果提供云存储服务的公司无法出示佐证实际安全状态的相关证明(如SOC Type 2报告),也无法出示佐证安全运作的相关证明,那就存在风险。在正常情况下,需要就接受该风险是否合理作出正式决定。但在目前新冠肺炎疫情发生的紧急情况下,该风险可能已被接受;而不应被接受的,是企业对于所接受的风险并不完全了解。
了解风险应是合规官、法律总顾问以及首席信息安全官的当务之急。公司应索要并保存检测报告和安全状态证明的副本。了解(而且是迅速了解)供应商是否有进行渗透测试,以及其是否拥有安全运营中心(或将这项业务外包予监控服务提供商)也是至关重要的。需要注意的是,如果供应商在安全方面出了问题导致事故,无论是供应商系统超载造成的服务丢失,还是网络犯罪行为造成的数据泄露,责任最终都会落在您身上。而如果将来提起诉讼,陪审团也会认为不了解供应商的安全状况是您的责任。
因此,除非您确定不改变硬件、软件、供应商和流程,也能够适应当前疫情下的运营新要求,否则您必须调整现有的风险评估文件。
重新审视您的风险评估正当时
您需要重新审视现有的风险评估,如果之前没有设立风险评估,则现在需要设立。您需要根据所在企业在当前疫情环境下作出的改变进行风险评估。
如果您的公司也需要进行远程工作,或者改动系统架构、供应商、业务流程或合规程序,则您面临的风险已经发生变化。其中一些可能被减弱,另一些则可能会增加。甚至可能还会面临全新的、从未见过的风险。
要了解风险的变化和走向,您必须先对已经发生变化的情况作出评估。而在任何企业中(除非企业规模极小),仅凭一己之力是不可能做到这一点的。以一家大中型企业或政府机构为例,要做到以上这点,可能需要综合多人的观点,包括:
- 信息技术
公司可能已经要求信息技术部门在有限的时间内迅速作出改变。他们可能需要聘请新的供应商、承包商或寻求其他人士的帮助。他们最为了解,在当前新冠肺炎疫情的大环境下,技术方面应作出何种改变。 - 法律总顾问
最好的情况是,在程序和供应商发生变动之前,法律顾问已审阅过相关变动。否则,法律顾问需要从法律和监管角度对风险进行评估。在任何情况下,新的工作安排都必须得到劳动法律顾问的审核,以确保符合在家工作薪酬的相关法律。 - 采购
负责支付账单的会计部门通常(采购部门也是如此)设有核验和批准新供应商/合约的程序。因此他们能很好地了解哪些变化需要批准而哪些不需要。 - 人力资源/劳动关系
员工的工作方式可能需要经过人力资源或劳动关系专家的审查。这一点在劳资集体协商的情况下尤为重要。当然,如果可能需要对不遵守新增或经修改的工作指引的员工发起负面行动,这一点也同样重要。 - 合规
最后,合规部门必须对新增或更新的工作流程进行适当测试。将合规部门纳入工作组,可以确保他们能够了解已经发生的改变,并根据其参与程度审查合规标准。
综合以上人员和部门的观点建议,您应该能大致了解疫情引发的变化,并列出清单。(当然,如果您不曾设有风险评估,则需要编制一份更详细的清单,列出运营相关的方方面面,包括已经改变的和没有改变的)。
一旦清单列出,与风险经理(或者保险经纪人)一起工作的团队必须对操作上、架构上或程序上作出的改变进行确认,并评估该等改变对风险级别的影响。您需要对以上内容进行记录,并确定是否应着手对某一方面进行改变(例如软件的配置方式、日志记录和备份的处理方式或者监控变化应采用的合规方式),从而降低已发生变化的风险。在某些情况下,企业可能认为,至少是短期内,除了接受风险增加的事实外别无他法。
如果风险发生变化且您购买了网络相关的保险,则根据保险合同的要求,您可能需要告知互联网公司。否则,您的索赔要求可能会受到质疑而无法兑现。
在风险重新评估方面,并不存在一种万能的解决方法。企业必须决定哪种方法最为有效。但请知晓,不进行风险重评是一种短视行为。如果公司没有针对疫情采取合理行动,则有可能构成民事诉讼的基础。
