网络安全知识之老板们应该过问的有关网络风险的挑战
发布时间:2021-12-30 09:14:12 所属栏目:安全 来源:互联网
导读:随着技术的不断发展,网络威胁的复杂性不断增加。网络威胁影响各种规模的企业,需要老板们(CEO)和其他高级领导者的关注和参与。为了帮助公司了解他们的风险并为网络威胁做好准备,老板们应与其领导讨论关键的网络安全风险管理主题,并实施网络安全优秀实践
|
随着技术的不断发展,网络威胁的复杂性不断增加。网络威胁影响各种规模的企业,需要老板们(CEO)和其他高级领导者的关注和参与。为了帮助公司了解他们的风险并为网络威胁做好准备,老板们应与其领导讨论关键的网络安全风险管理主题,并实施网络安全优秀实践。 本文档中列出的优秀实践是从事件响应活动和网络风险管理中吸取的经验教训汇编而成的。 推荐的组织网络安全优秀实践 下面列出的网络安全最佳实践可以帮助组织管理网络安全风险。 (1) 将网络安全风险管理讨论提升至公司老板们和领导团队。 高管应自上而下制定政策,以确保每个人都有权执行与其在降低网络安全风险方面的角色相关的任务。自上而下的策略定义角色并限制可能损害 IT 安全的权力斗争。 老板们和公司高级领导层参与定义组织的风险战略和可接受的风险水平对于全面的网络安全风险计划至关重要。在首席信息安全官、首席信息官和整个领导团队的协助下,公司老板们应该确保知道他们的部门如何影响公司的整体网络风险。此外,与公司董事会就这些风险决策进行定期讨论可确保所有公司决策者都能看到。 (2) 实施行业标准和最佳实践,而不是仅仅依赖合规性标准或认证。 通过实施行业基准和最佳实践(例如,遵循互联网安全中心等组织的最佳实践)来降低网络安全风险。组织应定制最佳实践,以确保它们与其特定用例相关。 遵循一致的最佳实践来建立预期企业网络行为的组织基线。这使组织能够主动应对网络安全威胁,而不是花费资源来“灭火”。 合规标准和法规(例如,联邦信息安全现代化法案)提供了最低要求的指导;然而,还有更多的企业可以做来超越要求。 (3) 评估和管理特定于组织的网络安全风险。 确定组织的关键资产以及网络安全威胁对这些资产的相关影响,以了解组织的特定风险敞口——无论是财务、竞争、声誉还是监管。风险评估结果是确定和优先考虑特定保护措施、分配资源、为长期投资提供信息以及制定管理网络安全风险的政策和战略的关键输入。 提出必要的问题,以了解安全规划、运营和安全相关目标。例如,最好通过实施整体安全控制而不是询问特定的安全控制、保护措施和对策来关注组织将实现的目标。 将网络企业风险讨论集中在“假设”情况上,抵制“这里不可能发生”的思维模式。 创建一个可重复的流程,对员工进行交叉培训,将风险和事件管理作为一种制度实践。通常,只有少数员工在关键领域具有主题专业知识。 (4) 确保网络安全风险指标有意义且可衡量。 一个有用指标的示例是组织修补整个企业的关键漏洞所需的时间。在这个例子中,减少修补漏洞所需的天数直接降低了组织的风险。 一个不太有用的指标的示例是安全运营中心 (SOC) 在一周内收到的警报数量。SOC 接收到的警报数量变量太多,无法始终保持相关性。 (编辑:云计算网_宿迁站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐