前面,我们根据英国NCSC简单介绍了,关于网络安全,领导层应该了解什么,后来我们有分享了领导层应该怎么做,今天结合这部分内容,我们看看英国安全专家对网络安全策略的看法。
关于网络安全,领导层应该怎么做?
将网络安全集成到组织的目标和风险中,如此重要有两个原因。
首先,网络安全会影响组织的各个方面。因此,为了正确管理网络安全,必须被整合到组织风险管理和决策中。例如:
- 运营风险可能会受到网络安全的支持,因为依赖于于使用的数字服务(电子邮件服务、定制软件等)的安全性。
- 一些法律风险将与网络安全风险联系在一起(例如保护数据或合作伙伴关系的合同要求,以特定方式处理数据的监管要求)。
- 财务风险受到网络安全的影响(例如,通过网络实施的欺诈造成的资金损失,以及服务因网络攻击而脱机时的收入损失)。
- 良好的网络安全还将允许您在使用新技术进行创新时承担一些风险。过于谨慎的风险处理方法可能导致错失商机或额外的(和不必要的)成本。
其次,网络安全需要整合才能成功。良好的网络安全不仅仅是拥有良好的技术,而是人们与安全部门建立良好的关系,并在整个组织中建立正确的流程来管理它。
例如,为了防止攻击者访问敏感数据(同时确保只有具有当前有效要求的人才能看到它),您将需要:
- 存储数据的良好技术解决方案
- 对处理数据的员工进行适当的培训
- 围绕管理员工流动的流程,与访问管理保持一致
在结构中反映注意内容:
网络安全是整个领导层的责任,不要把网络安全留给一个人。
网络安全事件将影响整个组织的重要事件,不仅仅是IT部门的重要事件。例如,可能会影响在线销售,影响合同关系或导致法律或监管行动。领导层内部应有足够的专业知识,以便为网络安全战略提供指导,并将决策追究责任。然而,领导层的每个成员都需要足够的专业知识来了解它如何影响他们的重点领域,并了解对整个组织的广泛影响。
英国境外的网络安全:在尝试了解网络安全对组织的影响和风险时,一个重要的考虑因素是组织在哪个国家/地区运营。对于那些在英国境外运营或在英国境外拥有合作伙伴的组织,CPNI智能业务指南强调了这可能如何影响安全考虑因素,包括网络安全。本工具包的“与供应商和合作伙伴协作”部分提供了有关如何缓解与这些关系相关的网络安全风险的指导。
与专家互动
考虑报告结构是否使领导层能够参与其所需的网络安全。如果CISO向领导层报告的中介机构只关注一个方面,无论是财务还是法律或技术-这可能会阻碍领导层看到网络安全更广泛影响的能力。现在在大多数组织中,CISO直接向领导层报告。
改善组织中网络安全的一个好起点是考虑专家与领导层成员之间的沟通。获得正确的结构可能会有所帮助,但我们也经常看到双方都不愿意参与,因为:
- 技术人员认为领导层不会理解他们(属于臆测)
- 领导层认为技术人员无法在组织战略目标的背景下解释问题(同样属于臆测)
改善这两个群体之间的沟通需要双方的努力:
- 领导层需要对网络安全有足够深入的了解,才能了解网络安全如何支持其整体组织目标
- 技术人员需要认识到网络风险的沟通是他们工作的核心组成部分,并确保他们了解自己在促进组织目标方面的作用。
五月份,网络安全解决方案公司Crossword Cybersecurity Plc发布了一份新 报告 ,表明英国公司越来越担心网络攻击。在对 200 多名 CISO 和高级网络安全专业人士的调查中,40% 的受访者表示,他们目前的网络安全战略可能在短短两年内就会过时。另有 37% 的人表示这将在三年内发生。
不断增加的网络攻击数量加上不断的技术创新意味着公司必须不断更新其网络安全战略。超过五分之三 (61.4%) 的参与者表示自己对阻止网络攻击的能力“相当有信心”。
为了跟上网络攻击的风险,公司需要在网络安全解决方案上投入更多资金。考虑到这一点,只有 44% 的受访者表示他们拥有必要的手段来保护他们的组织免受近期和中期风险以及技术趋势的影响。公司迫切需要制定网络安全战略以减轻长期威胁。
“董事会必须确保首席信息安全官有必要的预算来控制短期问题,然后开始规划长期的业务范围战略。这样的战略应该得到标准运营模型的支持,该模型为公司的整个供应链提供强大的流程和政策。Crossword Cybersecurity plc 集团董事总经理 Stuart Jubb 在新闻稿中表示,每个月的延迟都会使企业面临潜在的严重网络攻击。
根据 Crossword 的说法,未来五年需要采取更具战术性的方法。当前的网络安全战略过于脆弱,必须通过综合解决方案加以加强。此外,缩小技能差距应该是重中之重,这意味着必须分配资源来雇用顶尖人才或培训现有员工。
Jubb 争辩道:“管理日常风险是一项艰难的平衡行动,但如果首席信息安全官有合适的资源来提升他们的团队和工具的技能,利用人工智能带来效率和自动化,以帮助保护他们的组织及其供应链免受当今的威胁”。
货币,进入网络安全行业的门槛太高了。公司应该从更多元化的人才库中招募人才,并聘请认知心理学家、变革经理和业务专家以及其他与游戏相关的专业人士。只关注那些拥有技术技能的人不会提供竞争优势。
目前,网络安全专家认为公司主要关注短期优先事项,即软件验证和勒索软件攻击。在接下来的 12 个月中,四分之三的受访者表示软件验证将是一个关键焦点,而 69% 的受访者表示他们将过渡到云。此外,三分之二 (67%) 的参与者表示他们将专注于应对勒索软件攻击的威胁。
伦敦大学城市网络安全研究所所长兼安全工程教授 Muttukrishnan Rajarajan 表示:“解决勒索软件是研究领域的一个巨大关注领域,因此我对这项调查中的高分并不感到惊讶。在新闻稿中,我们经常被委托从事仅关注这一点的项目——对一家中小企业的攻击可能会导致整个供应链陷入停顿,正如我们最近通过 Log4J 代码库引入的漏洞所看到的那样。”
解决这些直接威胁是不够的。为了开发一种更强大的网络安全方法,Crossword 建议利用员工的不同见解,无论是通过研讨会还是集思广益的风险和相应的解决方案的整个景观。
这里,我们其实就明白了,为何我们的等级保护测评需要每年开展,风险评估要定期开展。因为网络安全这事,没有一劳永逸的事情,而我们的网络安全策略其实是非常容易过时的,加之我们人人都有惰性,往往喜欢“简单”的事情,也为攻击者降低了攻击难度。所以,我们不是圣人,还得"时时勤拂拭,勿使惹尘埃",毕竟我们常常使他惹尘埃。