即使是最熟練的團隊也會發現,管理網絡安全是一件非常具有挑戰的事情。在這個不斷變化的環境中,團隊最關鍵的技能是什么?
更廣泛地說,應對網絡安全風險的團隊主要進行操作,更多的是技術性的工作。長期以來,這一領域一直被視為純粹的IT領域,企業已經并將繼續提供技術資源。今天有待彌補的是網絡安全風險的組織、治理和管理,這些都是需要被納入企業主流的技能中。
網絡攻擊者的方法和目標是如何演變的,這對企業的戰略意味著什么?
網絡攻擊者迅速演變,預料到公司已經采取和將要采取的措施。網絡攻擊者不斷識別和監控受害者,使他們能夠領先一步。就公司而言,它們需要針對自己的保護戰略,保護敏感的東西,隔離關鍵資產,以避免鼓勵錯誤的大規模監控保護。
主動作為是降低網絡安全風險的關鍵,公司應該實施哪些積極的措施?
•確保公司意識到其安全需求,并通過讓業務經理參與來明確定義這些需求:此行動的主要目標是針對要保護的資產。
•根據這一需求的表達,核實遵守程度:滿足這一需求所需的安全措施是否得到正確應用?
•這只涉及對你的信息系統進行差距分析,以確定已經應用的措施的成熟程度。
•這些措施是否符合最新水平、符合公司標準(監管或內部標準)?
•根據這些結果,模擬風險,以檢查公司是否可能受到攻擊。
•定義了風險情景及其概率水平。對最有可能出現的情況進行優先排序,以便采取糾正措施。
合規性如何適應更廣泛的網絡安全風險管理戰略?它是可靠的網絡安全戰略的推動者還是副產品?
合規無疑是堅實的網絡安全戰略背后的驅動力之一。
公司必須不斷質疑自己對安全標準的遵守程度。這種以遵守為基礎的方法將促進持續改進進程的實施。成功恢復的制勝解決方案。
你能談談一些影響公司如何管理網絡安全風險的全球法規,以及如何在端到端保護戰略中考慮這些風險嗎?
到目前為止,唯一真正產生影響并提高所有領域和規模企業意識的法規是GDPR,即保護歐洲公民個人數據的法規。這項始于2018年的規定撼動了局面。公司被迫知道他們需要保護哪些數據,數據存儲在哪里,以及如何保護數據。因此,公司已經開始認真對待安全問題,并了解其中的利害關系。
在安全方面,監管是提高公司成熟度的好方法。即將出臺的歐洲法規NIS2和DORA將產生重大影響。它們將影響很大一部分業務,并將在組織、職能和運營級別解決端到端信息安全問題。這就是它變得有趣的地方!
對于希望改善網絡安全風險端到端管理的企業,你有什么建議?
為了提供應對其面臨的挑戰的安全,公司需要務實,確保必要和關鍵的東西,并確定其行動的優先順序,你不可能保證所有東西的安全。風險分析必須是一個基本的工具,正是這種方法指導良好的安全做法。購買網絡安全工具而不知道在哪里應用這些工具是沒有意義的。
•確定你的關鍵資產。
•檢查你的合規水平。
•模擬和分析你的風險。
•根據已確定的風險采取必要措施。
•監測與這些措施有關的行動計劃。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號