隨著技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)威脅的復雜性不斷增加。網(wǎng)絡(luò)威脅影響各種規(guī)模的企業(yè)，需要老板們(CEO)和其他高級領(lǐng)導者的關(guān)注和參與。為了幫助公司了解他們的風險并為網(wǎng)絡(luò)威脅做好準備，老板們應(yīng)與其領(lǐng)導討論關(guān)鍵的網(wǎng)絡(luò)安全風險管理主題，并實施網(wǎng)絡(luò)安全優(yōu)秀實踐。

本文檔中列出的優(yōu)秀實踐是從事件響應(yīng)活動和網(wǎng)絡(luò)風險管理中吸取的經(jīng)驗教訓匯編而成的。

老板們應(yīng)該了解公司面臨的網(wǎng)絡(luò)安全威脅嗎?

老板們應(yīng)該就潛在的網(wǎng)絡(luò)安全威脅提出以下問題：

• 網(wǎng)絡(luò)安全威脅如何影響企業(yè)的不同職能，包括供應(yīng)鏈、公共關(guān)系、財務(wù)和人力資源等領(lǐng)域?
• 哪些類型的關(guān)鍵信息可能會丟失(例如，商業(yè)機密、客戶數(shù)據(jù)、研究、個人身份信息)?
• 我的企業(yè)如何建立長期彈性以最大限度地降低網(wǎng)絡(luò)安全風險?
• 我的企業(yè)參與了什么樣的網(wǎng)絡(luò)威脅信息共享?我的企業(yè)與誰交換這些信息?
• 我的企業(yè)可以采用哪些類型的信息共享實踐來幫助在企業(yè)所屬的不同網(wǎng)絡(luò)安全團體之間建立社區(qū)?

老板們可以采取哪些措施來緩解網(wǎng)絡(luò)安全威脅?

以下問題將幫助 老板們指導與管理層討論網(wǎng)絡(luò)安全風險：

• 將網(wǎng)絡(luò)安全威脅通知行政領(lǐng)導層的門檻是多少?
• 公司目前的網(wǎng)絡(luò)安全風險水平如何?
• 目前的網(wǎng)絡(luò)安全風險水平對公司的業(yè)務(wù)可能產(chǎn)生哪些影響?
• 有什么計劃來應(yīng)對已識別的風險?
• 員工可以獲得哪些網(wǎng)絡(luò)安全培訓?
• 采取了哪些措施來減輕內(nèi)部威脅?
• 網(wǎng)絡(luò)安全計劃如何應(yīng)用行業(yè)標準和最佳實踐?
• 網(wǎng)絡(luò)安全計劃指標是否可衡量且有意義?
• 網(wǎng)絡(luò)安全事件響應(yīng)計劃以及業(yè)務(wù)連續(xù)性和災(zāi)難恢復計劃有多全面?
• 多久執(zhí)行一次計劃?
• 計劃是包含整個公司還是僅限于信息技術(shù) (IT)?
• 企業(yè)是否準備好與聯(lián)邦、州和地方政府網(wǎng)絡(luò)事件響應(yīng)者和調(diào)查人員以及合同響應(yīng)者和供應(yīng)商社區(qū)合作?(這塊在國內(nèi)考慮網(wǎng)信、公安、保密等監(jiān)管部門建立協(xié)調(diào)機制)？

推薦的組織網(wǎng)絡(luò)安全優(yōu)秀實踐

下面列出的網(wǎng)絡(luò)安全最佳實踐可以幫助組織管理網(wǎng)絡(luò)安全風險。

(1) 將網(wǎng)絡(luò)安全風險管理討論提升至公司老板們和領(lǐng)導團隊。

• 高管應(yīng)自上而下制定政策，以確保每個人都有權(quán)執(zhí)行與其在降低網(wǎng)絡(luò)安全風險方面的角色相關(guān)的任務(wù)。自上而下的策略定義角色并限制可能損害 IT 安全的權(quán)力斗爭。

• 老板們和公司高級領(lǐng)導層參與定義組織的風險戰(zhàn)略和可接受的風險水平對于全面的網(wǎng)絡(luò)安全風險計劃至關(guān)重要。在首席信息安全官、首席信息官和整個領(lǐng)導團隊的協(xié)助下，公司老板們應(yīng)該確保知道他們的部門如何影響公司的整體網(wǎng)絡(luò)風險。此外，與公司董事會就這些風險決策進行定期討論可確保所有公司決策者都能看到。

(2) 實施行業(yè)標準和最佳實踐，而不是僅僅依賴合規(guī)性標準或認證。

• 通過實施行業(yè)基準和最佳實踐(例如，遵循互聯(lián)網(wǎng)安全中心等組織的最佳實踐)來降低網(wǎng)絡(luò)安全風險。組織應(yīng)定制最佳實踐，以確保它們與其特定用例相關(guān)。

• 遵循一致的最佳實踐來建立預期企業(yè)網(wǎng)絡(luò)行為的組織基線。這使組織能夠主動應(yīng)對網(wǎng)絡(luò)安全威脅，而不是花費資源來“滅火”。

• 合規(guī)標準和法規(guī)(例如，聯(lián)邦信息安全現(xiàn)代化法案)提供了最低要求的指導;然而，還有更多的企業(yè)可以做來超越要求。

(3) 評估和管理特定于組織的網(wǎng)絡(luò)安全風險。

• 確定組織的關(guān)鍵資產(chǎn)以及網(wǎng)絡(luò)安全威脅對這些資產(chǎn)的相關(guān)影響，以了解組織的特定風險敞口——無論是財務(wù)、競爭、聲譽還是監(jiān)管。風險評估結(jié)果是確定和優(yōu)先考慮特定保護措施、分配資源、為長期投資提供信息以及制定管理網(wǎng)絡(luò)安全風險的政策和戰(zhàn)略的關(guān)鍵輸入。

• 提出必要的問題，以了解安全規(guī)劃、運營和安全相關(guān)目標。例如，最好通過實施整體安全控制而不是詢問特定的安全控制、保護措施和對策來關(guān)注組織將實現(xiàn)的目標。

• 將網(wǎng)絡(luò)企業(yè)風險討論集中在“假設(shè)”情況上，抵制“這里不可能發(fā)生”的思維模式。

• 創(chuàng)建一個可重復的流程，對員工進行交叉培訓，將風險和事件管理作為一種制度實踐。通常，只有少數(shù)員工在關(guān)鍵領(lǐng)域具有主題專業(yè)知識。

(4) 確保網(wǎng)絡(luò)安全風險指標有意義且可衡量。

• 一個有用指標的示例是組織修補整個企業(yè)的關(guān)鍵漏洞所需的時間。在這個例子中，減少修補漏洞所需的天數(shù)直接降低了組織的風險。

• 一個不太有用的指標的示例是安全運營中心 (SOC) 在一周內(nèi)收到的警報數(shù)量。SOC 接收到的警報數(shù)量變量太多，無法始終保持相關(guān)性。

(5) 為事件響應(yīng)、業(yè)務(wù)連續(xù)性和災(zāi)難恢復制定和實施網(wǎng)絡(luò)安全計劃和程序。

• 組織在整個組織中測試其事件響應(yīng)計劃至關(guān)重要，而不僅僅是在 IT 環(huán)境中。組織的每個部分都應(yīng)該知道如何應(yīng)對基本和大規(guī)模的網(wǎng)絡(luò)安全事件。測試事件響應(yīng)計劃和程序有助于防止事件升級。

• 事件響應(yīng)計劃應(yīng)提供有關(guān)何時將事件提升到下一級領(lǐng)導層的指示。定期執(zhí)行事件響應(yīng)計劃使組織能夠快速響應(yīng)事件并將影響降至最低。

(6) 留住高素質(zhì)的勞動力。

• 網(wǎng)絡(luò)安全工具的好壞取決于查看工具結(jié)果的人。擁有能夠為組織確定合適工具的人員也很重要。學習復雜組織的企業(yè)網(wǎng)絡(luò)可能需要大量時間，因此留住技術(shù)人員與獲取他們一樣重要。阻止所有網(wǎng)絡(luò)安全威脅沒有完美的答案，但知識淵博的 IT 人員對于降低網(wǎng)絡(luò)安全風險至關(guān)重要。

• 新的網(wǎng)絡(luò)安全威脅不斷出現(xiàn)。受托檢測網(wǎng)絡(luò)安全威脅的人員需要持續(xù)培訓。培訓增加了人員檢測網(wǎng)絡(luò)安全威脅并以符合行業(yè)最佳實踐的方式應(yīng)對威脅的可能性。

• 確保有適當?shù)挠媱潄斫鉀Q與減輕網(wǎng)絡(luò)安全風險相關(guān)的額外工作量。

• 網(wǎng)絡(luò)安全正在成為一門以任務(wù)為導向的正式學科，需要與關(guān)鍵知識、技能和能力保持特定的一致性。在國內(nèi)首創(chuàng)的網(wǎng)絡(luò)安全職業(yè)和研究(NICCS)是人力資源規(guī)劃的有用資源。

(7) 保持對網(wǎng)絡(luò)安全威脅的態(tài)勢感知。

• 訂閱有關(guān)新興網(wǎng)絡(luò)安全威脅的通知(例如，國家網(wǎng)絡(luò)意識系統(tǒng)產(chǎn)品、MITRE 常見漏洞暴露、CERT 協(xié)調(diào)中心漏洞說明)。如果可能，創(chuàng)建一份關(guān)于組織最近面臨的網(wǎng)絡(luò)安全威脅(例如，網(wǎng)絡(luò)釣魚電子郵件、惡意軟件、勒索軟件)的摘要，以分發(fā)給 IT 部門以外的人員，以幫助加強他們在降低網(wǎng)絡(luò)安全風險方面的作用。

• 探索可用的興趣社區(qū)。這些可能包括特定部門的信息共享和分析中心、國土信息共享網(wǎng)絡(luò)或其他政府和情報計劃。