随着技术的不断发展,网络威胁的复杂性不断增加。网络威胁影响各种规模的企业,需要老板(CEO)和其他高层领导的关注和参与。为了帮助公司了解他们的风险并为网络威胁做好准备,老板们应该与他们的领导讨论关键的网络安全风险管理主题并实施网络安全最佳实践。本文档中列出的最佳实践是从事件响应活动和网络风险管理中吸取的经验教训的汇编。老板们应该意识到他们公司面临的网络安全威胁吗?老板应该就潜在的网络安全威胁提出以下问题:网络安全威胁如何影响企业的不同职能,包括供应链、公共关系、财务和人力资源等领域?哪种类型的关键信息可能会丢失(例如,商业秘密、客户数据、研究、个人身份信息)?我的企业如何建立长期弹性以最大限度地降低网络安全风险?我的企业涉及哪些网络威胁信息共享?我的企业与谁交换此信息?我的企业可以采用哪些类型的信息共享实践来帮助在企业所属的不同网络安全组之间建立社区?老板们可以做些什么来减轻网络安全威胁?问题将帮助老板引导与管理层讨论网络安全风险:将网络安全威胁通知行政领导的门槛是多少?公司目前的网络安全风险水平如何?当前网络安全风险水平对公司业务的可能影响是什么制定了哪些计划来解决已识别的风险?员工可以获得哪些网络安全培训?采取了哪些措施来减轻内部威胁?网络安全计划如何应用行业标准和最佳实践?网络安全计划指标是否可衡量且有意义?网络安全事件响应计划和业务连续性和灾难恢复计划有多全面?计划多久执行一次?该计划是涵盖整个公司还是仅限于信息技术(IT)?响应者和调查人员,以及合同响应者和供应商社区合作?(对此,国内网信、公安、保密等监管部门应考虑建立协调机制)?为组织推荐的网络安全最佳实践下面列出的网络安全最佳实践可以帮助组织管理网络安全风险。(1)将网络安全风险管理讨论提升至公司老板和领导团队。高管们应该自上而下地制定政策,以确保每个人都有权执行与其在减轻网络安全风险方面的作用相关的任务。自上而下的策略定义角色并限制可能危及IT安全的权力斗争。让老板和高级企业领导层参与定义组织的风险战略和可接受的风险水平对于全面的网络安全风险计划至关重要。在CISO、CIO和整个领导团队的协助下,企业老板应该确保他们知道他们的部门如何影响公司的整体网络风险。此外,与公司董事会就这些风险决策进行定期讨论可确保所有公司决策者的可见性。(2)实施行业标准和最佳实践,而不是仅仅依赖合规标准或认证。通过实施行业基准和最佳实践(例如,遵循互联网安全中心等组织的标准)来降低网络安全风险。组织应定制最佳实践,以确保它们与其特定用例相关。遵循一致的最佳实践来建立预期企业网络行为的组织基线。这使组织能够主动应对网络安全威胁,而不是花费资源来“救火”。合规标准和法规(例如,联邦信息安全现代化法案)提供最低要求的指导;然而,组织可以做更多的事情来超越这些要求。(3)评估和管理组织特定的网络安全风险。识别组织的关键资产以及网络安全威胁对这些资产的相对影响,以了解组织的特定风险暴露——无论是财务、竞争、声誉还是监管。风险评估结果是确定具体保护措施并确定其优先级、分配资源、告知长期投资以及制定管理网络安全风险的政策和战略的关键输入。提出必要的问题以了解安全规划、操作和与安全相关的目标。例如,最好关注组织通过实施整体安全控制将实现的目标,而不是询问具体的安全控制、保护和对策。将网络企业风险讨论的重点放在“假设”场景上,抵制“不可能在这里发生”的心态。创建一个可重复的流程,对员工进行交叉培训,并将风险和事件管理作为一种制度实践来实施。通常,只有少数员工在关键领域拥有主题专业知识。(四)确保网络安全风险指标有意义、可衡量。一个有用的指标示例是组织修补整个企业的关键漏洞所花费的时间。在这个例子中,减少修补漏洞所需的天数直接降低了组织的风险。一个不太有用的指标的例子是安全运营中心(SOC)在一周内收到的警报数量。SOC收到的警报数量变化太大,无法始终保持相关性。(5)为事件响应、业务连续性和灾难恢复制定和实施网络安全计划和程序。对于组织而言,在整个组织内测试其事件响应计划至关重要,而不仅仅是在IT环境内。组织的每个部分都应该知道如何应对基本和大规模的网络安全事件。测试事件响应计划和程序有助于防止事件升级。事件响应计划应指示何时将事件升级到下一级领导。定期执行事件响应计划使组织能够以最小的影响快速响应事件。(六)留住高素质劳动力。网络安全工具的好坏取决于查看工具结果的人。拥有能够为您的组织确定正确工具的人员也很重要。了解复杂组织的企业网络可能需要花费大量时间,因此留住有技能的人才与获得他们一样重要。阻止所有网络安全威胁没有完美的答案,但知识渊博的IT员工对于降低网络安全风险至关重要。新的网络安全威胁不断涌现。负责检测网络安全威胁的人员需要持续培训。培训增加了人员检测网络安全威胁并以符合行业最佳实践的方式对其做出响应的可能性。确保制定计划来解决与减轻网络安全风险相关的额外工作量。网络安全正在成为一门正式的、以任务为导向的学科,需要特定的关键知识、技能和能力。网络安全职业和研究(NICCS)在该国尚属首创,是劳动力规划的有用资源。(7)保持对网络安全威胁的态势感知。订阅有关新兴网络安全威胁的通知(例如,国家网络意识系统产品、MITRE常见漏洞披露、CERT协调中心漏洞说明)。如果可能,创建一份近期对组织的网络安全威胁(例如网络钓鱼电子邮件、恶意软件、勒索软件)的摘要,以分发给IT部门以外的人员,以帮助加强他们在减轻网络安全风险方面的作用。探索可用的兴趣社区。这些可能包括特定部门的信息共享和分析中心、国土信息共享网络或其他政府和情报项目。
