调查显示,英国监管机构发布的最新运营弹性规则和指南于2022年3月31日生效后,英国金融服务业正在发生翻天覆地的变化。这些规则和指南规定了企业必须采取的行动来预防、适应、响应、从灾难中恢复,并从各种形式的运营中断中吸取教训,并要求企业能够在2025年3月之前在其“影响限度”内运营。之内。至关重要的是,正如英格兰银行(BoE)和英国金融行为监管局(FCA)所指出的那样,运营弹性现在已经超越了简单的业务连续性和灾难恢复,扩展到了网络安全领域。加强网络弹性的三大支柱和步骤网络攻击是对企业运营最具破坏性的攻击之一,意想不到的网络攻击可能会给毫无准备的受害者带来毁灭性的后果。调查显示,仅2020年一年,全球金融业遭受的网络攻击就猛增200%,此后攻击次数还在不断增加。对这些风险保持足够的弹性是有效网络安全战略的三大支柱,只有将这三者结合起来,组织才能保持健全的结构。(1)人是资产,不是漏洞当从网络安全的角度考虑潜在的漏洞时,这些人往往是企业内部人员,他们往往缺乏如何避免陷阱或报告可疑事件的知识。例如,根据英国政府的2022年网络安全漏洞调查,83%将在2022年遭受网络攻击的企业表示网络钓鱼尝试是最常见的威胁媒介。众所周知,网络钓鱼攻击利用了“人为因素”——人们通常相信自己的本能来应对熟悉和压力。因此,拥有能够识别网络钓鱼企图的员工是当今金融服务组织可以拥有的最大资产之一。确保这一点的最佳方法是为他们提供安全培训,并在模拟网络钓鱼攻击练习中测试他们的知识,并定期进行,以便始终保持高度警惕。这样,如果员工成为网络钓鱼电子邮件的目标,他们就会知道如何识别它,并采取必要的步骤来消除威胁。由于网络钓鱼仍然是恶意行为者方便且有利可图的做法,企业别无选择,只能让员工具备应对挑战的知识和信心。(2)现有流程可防止攻击其次,流程必须到位,以确保决策者在面临威胁时确切地知道该怎么做。然而,这些过程很难单独定义。幸运的是,英国国家网络安全中心(NCSC)提供包括Cyber??Essentials和Cyber??EssentialsPlus在内的认证,专注于网络弹性的关键领域。这包括管理防火墙、安全配置、访问控制和恶意软件保护。如果成功实施这些流程,英国国家网络安全中心(NCSC)估计最多可以阻止80%的网络攻击。此外,ISO27001等认证可以帮助覆盖Cyber??Essentials未覆盖的领域。例如,虽然Cyber??Essentials倾向于关注设备、网络和公司IT基础设施其他部分的数据和程序,但ISO27001认证侧重于公司持有的所有数据,无论是纸质还是数字形式。除了预防之外,还必须制定流程来处理数据泄露或网络攻击的后果。在这些情况下,仅依靠认证无法避免运营中断和潜在的GDPR处罚。必须采取适当的操作步骤,以便合适的人可以决定适当的行动方案,从通知英国信息专员办公室(ICO)到提醒客户和合作伙伴,视情况而定。(3)采用正确的技术和工具最后,正确的工具将在确保网络和运营弹性方面发挥关键作用。研究公司Gartner预测,到2023年,全球信息安全支出将增长11.1%,达到1870亿美元,其中大部分将用于采用正确的工具。技术。所有这些投资都假设企业拥有大量熟练且敬业的员工来操作此类技术。然而,情况并非总是如此,尤其是在硬件和可用人员短缺的情况下。许多企业根本没有资源为其安全运营中心(SOC)购买新技术或雇用新员工。事实上,只有44%的企业拥有监控或记录违规行为的工具。因此,四分之一的企业正在寻求外部网络安全提供商的帮助来满足他们的需求。不是如果,而是何时,事实证明网络攻击不是如果,而是何时,所以视而不见不是一个好的选择。相反,企业必须具备全面的技术控制、员工网络安全意识和适当的操作程序。通过让网络弹性的所有三个支柱协同工作,组织可以确保其运营弹性。
