四分之三的安全专家认为现在的网络安全策略很快就会过时如何做,今天结合这一部分,一起来看看英国安全专家对网络安全策略的看法。领导层应该如何处理网络安全问题?将网络安全纳入组织的目标和风险很重要,原因有二。首先,网络安全影响到组织的方方面面。因此,为了妥善管理网络安全,必须将其纳入组织风险管理和决策制定。例如:运营风险可能受到网络安全的支持,因为它依赖于所使用的数字服务(电子邮件服务、定制软件等)的安全性。一些法律风险将与网络安全风险相关联(例如,保护数据或合作伙伴关系的合同要求,以特定方式处理数据的监管要求)。财务风险受到网络安全的影响(例如,网络欺诈造成的资金损失,以及服务因网络攻击而下线造成的收入损失)。良好的网络安全还可以让您在使用新技术进行创新时承担一些风险。对风险过于谨慎的方法可能会导致错失商机或增加(和不必要的)成本。其次,网络安全需要整合才能成功。良好的网络安全不仅仅是拥有良好的技术,还在于人们与安全建立良好的关系,并在整个组织中建立正确的流程来管理它。例如,为防止攻击者访问敏感数据(同时确保只有满足当前有效要求的人才能看到),您将需要:用于存储数据的良好技术解决方案对处理数据的员工进行适当培训与访问保持一致的流程managementReflectinstructure注:网络安全是整个领导层的责任,不要把网络安全留给一个人。网络安全事件将影响整个组织的关键事件,而不仅仅是IT部门。例如,它可能会影响在线销售、影响合同关系或导致法律或监管行动。领导层应该有足够的专业知识来指导网络安全战略并让决策负责。然而,领导团队的每个成员都需要足够的专业知识来了解它如何影响他们的重点领域,并了解对整个组织的更广泛影响。英国以外的网络安全:在试图了解网络安全对组织的影响和风险时,一个重要的考虑因素是组织运营所在的国家/地区。对于在英国境外运营或在英国境外拥有合作伙伴的组织,CPNI智能业务指南强调了这可能会如何影响安全考虑因素,包括网络安全。本工具包的“与供应商和合作伙伴合作”部分提供了有关如何减轻与这些关系相关的网络安全风险的指南。与专家接洽,考虑报告结构是否能让领导层参与他们需要的网络安全。如果CISO向领导层报告的中介只关注一个方面,无论是财务、法律还是技术——这可能会阻碍领导层看到网络安全更广泛影响的能力。在当今的大多数组织中,CISO直接向领导层报告。改善组织网络安全的一个良好起点是考虑专家与领导成员之间的沟通。获得正确的结构会有所帮助,但我们也经常看到双方都不愿意参与,因为:技术人员认为领导层不会理解他们(假设)领导层认为技术人员无法适应组织战略目标的背景解释问题(同样是推测性的)改善这两个群体之间的沟通是一项共同的努力:领导层需要深入了解网络安全,以了解它如何支持他们的整体组织目标技术人员需要意识到网络风险沟通是他们工作和工作的核心组成部分确保他们了解自己在促进组织目标方面的作用。5月,网络安全解决方案公司CrosswordCyber??securityPlc发布了一份新报告,显示英国公司越来越担心网络攻击。在对200多名CISO和高级网络安全专业人士进行的一项调查中,40%的受访者表示,他们当前的网络安全策略可能会在短短两年内过时。另有37%的人表示这将在三年内发生。不断增加的网络攻击数量加上不断的技术创新意味着公司必须不断更新其网络安全策略。超过五分之三(61.4%)的参与者表示,他们对自己阻止网络攻击的能力“非常有信心”。为了跟上网络攻击的风险,公司需要在网络安全解决方案上进行更多投资。考虑到这一点,只有44%的受访者表示他们有必要的手段来保护他们的组织免受近期和中期风险和技术趋势的影响。公司迫切需要制定网络安全战略以减轻长期威胁。“在开始规划长期业务线战略之前,董事会必须确保CISO有必要的预算来控制短期问题。此类策略应由提供稳健流程和政策的标准运营模型支持。CrosswordCyber??securityplc的集团董事总经理StuartJubb在一份新闻稿中表示,每个月的延误都会使企业面临潜在的严重网络攻击。根据Crossword的说法,未来五年将需要一种更具战术性的方法。目前“的网络安全战略过于薄弱,必须通过全面的解决方案加以加强。此外,弥合技能差距应该是重中之重,这意味着必须分配资源来聘请顶尖人才或培训现有员工。Jubb认为:“管理日常风险是一项艰难的平衡行为,但如果CISO拥有适当的资源来提高他们团队的技能,并拥有利用AI带来效率和自动化的工具,以帮助保护他们的组织和他们的供应链。来自今天的威胁。”货币,进入网络安全行业的门槛太高了。公司应从更多样化的人才库中招聘,并聘请认知心理学家、变革经理和业务专家,以及其他与游戏相关的专业人士。只关注那些具有技术技能的人不会提供竞争优势。目前,网络安全专家认为公司主要关注短期优先事项,即软件验证和勒索软件攻击。在接下来的12个月里,四分之三的受访者表示软件验证将是一个重点,而69%的受访者表示他们将过渡到云。此外,三分之二(67%)的参与者表示,他们将专注于解决勒索软件攻击的威胁。城市网络安全研究所所长兼伦敦大学学院安全工程教授MuttukrishnanRajarajan表示:“应对勒索软件是一个巨大的研究领域,因此我对这项研究的高分并不感到惊讶调查。在一份新闻稿中,我们经常受委托开展专注于这一点的项目-对中小型企业的攻击可能导致整个供应链停止,正如我们最近看到的一个引入的漏洞在Log4J代码库中。”解决这些迫在眉睫的威胁是不够的。为了制定更强大的网络安全方法,Crossword建议利用员工的不同见解,无论是通过研讨会还是对整个风险格局和相应解决方案进行头脑风暴。在这里,我们真正理解为什么我们的分级保护评估需要每年都要进行,定期进行风险评估。因为网络安全,没有一劳永逸的事情,我们的网络安全策略其实很容易过时。另外,我们都有惰性,往往喜欢“简单”的东西,这也降低了攻击者的攻击难度。因此,我们也不是圣人,要“时时刻刻勤于擦拭,以免扬尘”,毕竟,我们经常使他吸尘。
