?調(diào)查表明，英國監(jiān)管機構最新發(fā)布的運營彈性規(guī)則和指南于2022年3月31日生效后，英國金融服務業(yè)正在發(fā)生巨大變化。這些規(guī)則和指南規(guī)定企業(yè)必須采取的行動，對災難進行預防、適應、應對、恢復，以及從各種形式的運營中斷中吸取教訓，并要求企業(yè)能夠在2025年3月之前在其“影響限度”內(nèi)運營。

至關重要的是，正如英格蘭銀行(BoE)和英國金融行為監(jiān)管局(FCA)所指出的那樣，運營彈性現(xiàn)在已經(jīng)從簡單的業(yè)務連續(xù)性和災難恢復擴展到網(wǎng)絡安全領域。

增強網(wǎng)絡彈性的三個支柱和步驟

網(wǎng)絡攻擊是對業(yè)務運營造成的最嚴重破壞之一，而出人意料的網(wǎng)絡攻擊給那些準備不足的受害者帶來毀滅性的后果。根據(jù)調(diào)查，僅在2020年，全球金融行業(yè)遭受的網(wǎng)絡攻擊數(shù)量就飆升了200%，而且此后攻擊數(shù)量一直在增加。

保持對這些風險的足夠彈性是采用有效網(wǎng)絡安全戰(zhàn)略的三大支柱，只有將這三者結合起來，企業(yè)才能保持健全的結構。

(1)人員是資產(chǎn)，而不是薄弱環(huán)節(jié)

當人們從網(wǎng)絡安全的角度考慮潛在的薄弱環(huán)節(jié)時，這些薄弱環(huán)節(jié)往往是企業(yè)的內(nèi)部人員，而他們通常缺乏關于如何避免陷阱或報告可疑事件的知識。例如，根據(jù)英國政府的2022年網(wǎng)絡安全漏洞調(diào)查，在2022年遭到網(wǎng)絡攻擊的企業(yè)中，有83%的企業(yè)表示網(wǎng)絡釣魚嘗試是最常見的威脅媒介。

眾所周知，網(wǎng)絡釣魚攻擊利用了“人為因素”——人們通常會信任熟悉事物和應對壓力的自然本能。因此，擁有能夠識別網(wǎng)絡釣魚企圖的員工是金融服務組織如今可以擁有的最大資產(chǎn)之一。確保這一點的最佳方法是為他們提供安全培訓，并在模擬網(wǎng)絡釣魚攻擊練習中測試他們掌握的知識，并定期進行測試，以便始終保持高度警惕。這樣，如果員工成為網(wǎng)絡釣魚電子郵件的目標，他們將知道如何識別，并采取必要措施消除威脅。

由于網(wǎng)絡釣魚對于惡意行為者來說仍然是一種方便且有利可圖的行為，因此企業(yè)別無選擇，只能用知識和信心武裝員工來應對挑戰(zhàn)。

(2)適當?shù)牧鞒炭梢苑乐构?/h4>

其次，必須制定流程以確保決策者準確地知道在面臨威脅時該做什么。然而，這樣的過程很難單獨定義。幸運的是，英國國家網(wǎng)絡安全中心(NCSC)提供了包括Cyber Essentials和Cyber Essentials Plus在內(nèi)的認證，重點關注網(wǎng)絡彈性的主要領域。這其中包括管理防火墻、安全配置、訪問控制和惡意軟件防護。如果成功實施這些流程，英國國家網(wǎng)絡安全中心(NCSC)估計可以防止多達80%的網(wǎng)絡攻擊。

此外，諸如ISO27001之類的認證可以幫助覆蓋Cyber Essentials所沒有的范圍。例如，Cyber Essentials往往側重于設備、網(wǎng)絡和企業(yè)IT基礎設施的其他部分上持有的數(shù)據(jù)和程序，ISO27001認證關注的是企業(yè)持有的所有數(shù)據(jù)，無論是紙質(zhì)數(shù)據(jù)還是數(shù)字形式。

除了預防之外，還必須制定流程來處理數(shù)據(jù)泄露或網(wǎng)絡攻擊的后果。在這些情況下，僅依靠認證并不能避免運營中斷和潛在的GDPR處罰。必須采取適當?shù)牟僮鞔胧?，以便合適的人可以決定適當?shù)男袆臃桨?，其措施從通知英國信息專員辦公室(ICO到提醒客戶和合作伙伴，具體做法因情況而異。

(3)采用正確的技術和工具

最后，正確的工具將在確保網(wǎng)絡和運營彈性方面發(fā)揮關鍵作用。研究機構Gartner公司預測，到2023年，全球信息安全支出將增長11.1%，達到1870億美元，其中大部分將用于采用正確的技術。所有這些投資都假設企業(yè)擁有大量熟練和敬業(yè)的員工來操作此類技術。然而，情況并非總是如此，尤其是在硬件和可用員工短缺的情況下。

許多企業(yè)根本沒有資源來購買新技術或為他們的安全運營中心(SOC)聘請新員工。事實上，只有44%的企業(yè)擁有監(jiān)控或記錄違規(guī)事件的工具。因此，四分之一的企業(yè)正在轉(zhuǎn)向?qū)で笸獠烤W(wǎng)絡安全提供商的幫助來滿足他們的需求。

不是是否而是何時發(fā)生網(wǎng)絡攻擊

事實證明，網(wǎng)絡攻擊事件并不是能否發(fā)生，而是何時發(fā)生，因此對此視而不見并不是一種很好的選擇。與其相反，企業(yè)必須實施全面的技術控制、加強員工網(wǎng)絡安全意識以及采用適當?shù)牟僮鞒绦?。通過讓網(wǎng)絡彈性的所有三個支柱協(xié)同工作，企業(yè)能夠確保他們的運營彈性。