我們知道公司面臨網(wǎng)絡(luò)安全風(fēng)險，實際上董事會也知道。他們清楚網(wǎng)絡(luò)安全是個商業(yè)問題，也知道自己應(yīng)該關(guān)注這一問題對業(yè)務(wù)意味著什么。但是，董事會往往對自己可以做點什么沒有一個具體的概念。

[[158081]]

一個不錯的建議就是，將某安全事件，如數(shù)據(jù)泄露與董事會熟悉事情聯(lián)系起來，然后再落到重要的安全控制上去。

這一方法能使你的董事會對情況多些了解，也能增加你安全策略的可信度。以下是使用這一方法的3個例子：

1. 網(wǎng)絡(luò)劃分、身份驗證以及訪問控制

內(nèi)線消息：第三方廠商的安全憑證被盜，且被用作突破某大型全球零售商網(wǎng)絡(luò)的軸心點。攻擊者利用這一最初的數(shù)據(jù)泄露獲取到了該零售商銷售終端生態(tài)系統(tǒng)的訪問權(quán)。這個案例中，第三方廠商僅僅需要對該網(wǎng)絡(luò)非常有限的訪問權(quán)即可，他們完全沒必要訪問那關(guān)鍵的POS系統(tǒng)。

為什么這很重要：公司運營中最關(guān)鍵的一條，就是要確保每個人都能做需要他們做的所有事情。保證他們能獲取他們需要的所有東西但決不更多，是有效安全運營的關(guān)鍵。

你的董事會應(yīng)該考慮的：清楚最小權(quán)限原則是公司運營有效且安全的基本原則。這一安全控制是每家公司企業(yè)都應(yīng)該實現(xiàn)的安全基礎(chǔ)。

2. 安全意識訓(xùn)練

內(nèi)線消息：一個網(wǎng)絡(luò)釣魚騙局瞄準(zhǔn)了一家年增數(shù)百萬設(shè)備銷售量的國際大牌消費設(shè)備公司。該網(wǎng)絡(luò)釣魚騙局可用于為網(wǎng)絡(luò)罪犯投遞攻擊載荷。《威瑞森2015數(shù)據(jù)泄露調(diào)查報告》顯示：23%的用戶打開網(wǎng)絡(luò)釣魚郵件，11%會點擊釣魚鏈接——意味著每10封網(wǎng)絡(luò)釣魚郵件進入公司，就有90%的可能性至少有1名員工點擊了惡意鏈接。

為什么這很重要：由于網(wǎng)絡(luò)釣魚騙局越來越普遍和精心設(shè)計，員工安全訓(xùn)練變得十分重要。安全技能訓(xùn)練幫助用戶明白怎樣將安全目標(biāo)化為實踐。

你的董事會應(yīng)該考慮的：策略、規(guī)程和訓(xùn)練是公司深度防御戰(zhàn)略的關(guān)鍵部分。要保證公司具有書面的安全策略和規(guī)程有助于引導(dǎo)員工的行為。此外，訓(xùn)練員工遵循這些實踐有助于減少公司的安全風(fēng)險。

3. 檢測惡意攻擊

內(nèi)線消息：一家主流社交媒體廠商不得不面對公眾數(shù)據(jù)泄露的指控。但最初看起來像是數(shù)據(jù)泄露的事件，其實只是引入到他們系統(tǒng)中的一個技術(shù)性改變引發(fā)的內(nèi)部錯誤。現(xiàn)在每天都有成百上千的惡意軟件攻擊發(fā)生，很多公司都可能成為分布式拒絕服務(wù)(DDoS)攻擊的受害者，這種攻擊的目的就是要讓你的目標(biāo)用戶連不上你的資源。

為什么這很重要：防護、檢測和響應(yīng)的原則就應(yīng)用在這里了。有能力保護你的邊界是非常重要的第一步。

接下來，能夠檢測出系統(tǒng)中的改變對于制定合適的響應(yīng)計劃非常關(guān)鍵。系統(tǒng)的基線配置，也就是所謂的“黃金鏡像”，將幫助你的公司區(qū)分開“正常運營”的改變和惡意改變。

你的董事會應(yīng)該考慮的：利用業(yè)務(wù)單位負(fù)責(zé)人識別出關(guān)鍵數(shù)據(jù)和資產(chǎn)是關(guān)鍵一步。只要做到這一點，與安全和IT團隊協(xié)作就能為這些資產(chǎn)定義出安全配置以確保公司能發(fā)現(xiàn)安全事件并做出響應(yīng)，盡快恢復(fù)到實際工作中。

利用高曝光率的數(shù)據(jù)泄露事件來夯實常見安全風(fēng)險的例子能給你的董事會提供很好的直觀教學(xué)課。這一方法能幫助他們理解自身可以怎樣幫助改進公司的安全態(tài)勢。這一策略也是培養(yǎng)他們對公司安全態(tài)勢的支持，以及幫助鑒別適合你公司大小、產(chǎn)業(yè)和風(fēng)險偏好的安全控制的絕佳方式。

原文地址：http://www.aqniu.com/neo-points/12157.html