前面，我們?根據(jù)英國NCSC簡單介紹了，關(guān)于網(wǎng)絡(luò)安全，領(lǐng)導(dǎo)層應(yīng)該了解什么，后來我們有分享了領(lǐng)導(dǎo)層應(yīng)該怎么做，今天結(jié)合這部分內(nèi)容，我們看看英國安全專家對網(wǎng)絡(luò)安全策略的看法。

關(guān)于網(wǎng)絡(luò)安全，領(lǐng)導(dǎo)層應(yīng)該怎么做？

將網(wǎng)絡(luò)安全集成到組織的目標(biāo)和風(fēng)險中，如此重要有兩個原因。

首先，網(wǎng)絡(luò)安全會影響組織的各個方面。因此，為了正確管理網(wǎng)絡(luò)安全，必須被整合到組織風(fēng)險管理和決策中。例如：

• 運(yùn)營風(fēng)險可能會受到網(wǎng)絡(luò)安全的支持，因為依賴于于使用的數(shù)字服務(wù)（電子郵件服務(wù)、定制軟件等）的安全性。
• 一些法律風(fēng)險將與網(wǎng)絡(luò)安全風(fēng)險聯(lián)系在一起（例如保護(hù)數(shù)據(jù)或合作伙伴關(guān)系的合同要求，以特定方式處理數(shù)據(jù)的監(jiān)管要求）。
• 財務(wù)風(fēng)險受到網(wǎng)絡(luò)安全的影響（例如，通過網(wǎng)絡(luò)實施的欺詐造成的資金損失，以及服務(wù)因網(wǎng)絡(luò)攻擊而脫機(jī)時的收入損失）。
• 良好的網(wǎng)絡(luò)安全還將允許您在使用新技術(shù)進(jìn)行創(chuàng)新時承擔(dān)一些風(fēng)險。過于謹(jǐn)慎的風(fēng)險處理方法可能導(dǎo)致錯失商機(jī)或額外的（和不必要的）成本。

其次，網(wǎng)絡(luò)安全需要整合才能成功。良好的網(wǎng)絡(luò)安全不僅僅是擁有良好的技術(shù)，而是人們與安全部門建立良好的關(guān)系，并在整個組織中建立正確的流程來管理它。

例如，為了防止攻擊者訪問敏感數(shù)據(jù)（同時確保只有具有當(dāng)前有效要求的人才能看到它），您將需要：

• 存儲數(shù)據(jù)的良好技術(shù)解決方案
• 對處理數(shù)據(jù)的員工進(jìn)行適當(dāng)?shù)呐嘤?xùn)
• 圍繞管理員工流動的流程，與訪問管理保持一致

在結(jié)構(gòu)中反映注意內(nèi)容：

網(wǎng)絡(luò)安全是整個領(lǐng)導(dǎo)層的責(zé)任，不要把網(wǎng)絡(luò)安全留給一個人。

網(wǎng)絡(luò)安全事件將影響整個組織的重要事件，不僅僅是IT部門的重要事件。例如，可能會影響在線銷售，影響合同關(guān)系或?qū)е路苫虮O(jiān)管行動。領(lǐng)導(dǎo)層內(nèi)部應(yīng)有足夠的專業(yè)知識，以便為網(wǎng)絡(luò)安全戰(zhàn)略提供指導(dǎo)，并將決策追究責(zé)任。然而，領(lǐng)導(dǎo)層的每個成員都需要足夠的專業(yè)知識來了解它如何影響他們的重點(diǎn)領(lǐng)域，并了解對整個組織的廣泛影響。

英國境外的網(wǎng)絡(luò)安全：在嘗試了解網(wǎng)絡(luò)安全對組織的影響和風(fēng)險時，一個重要的考慮因素是組織在哪個國家/地區(qū)運(yùn)營。對于那些在英國境外運(yùn)營或在英國境外擁有合作伙伴的組織，CPNI智能業(yè)務(wù)指南強(qiáng)調(diào)了這可能如何影響安全考慮因素，包括網(wǎng)絡(luò)安全。本工具包的“與供應(yīng)商和合作伙伴協(xié)作”部分提供了有關(guān)如何緩解與這些關(guān)系相關(guān)的網(wǎng)絡(luò)安全風(fēng)險的指導(dǎo)。

與專家互動

考慮報告結(jié)構(gòu)是否使領(lǐng)導(dǎo)層能夠參與其所需的網(wǎng)絡(luò)安全。如果CISO向領(lǐng)導(dǎo)層報告的中介機(jī)構(gòu)只關(guān)注一個方面，無論是財務(wù)還是法律或技術(shù)-這可能會阻礙領(lǐng)導(dǎo)層看到網(wǎng)絡(luò)安全更廣泛影響的能力。現(xiàn)在在大多數(shù)組織中，CISO直接向領(lǐng)導(dǎo)層報告。

改善組織中網(wǎng)絡(luò)安全的一個好起點(diǎn)是考慮專家與領(lǐng)導(dǎo)層成員之間的溝通。獲得正確的結(jié)構(gòu)可能會有所幫助，但我們也經(jīng)?？吹诫p方都不愿意參與，因為：

• 技術(shù)人員認(rèn)為領(lǐng)導(dǎo)層不會理解他們（屬于臆測）
• 領(lǐng)導(dǎo)層認(rèn)為技術(shù)人員無法在組織戰(zhàn)略目標(biāo)的背景下解釋問題（同樣屬于臆測）

改善這兩個群體之間的溝通需要雙方的努力：

• 領(lǐng)導(dǎo)層需要對網(wǎng)絡(luò)安全有足夠深入的了解，才能了解網(wǎng)絡(luò)安全如何支持其整體組織目標(biāo)
• 技術(shù)人員需要認(rèn)識到網(wǎng)絡(luò)風(fēng)險的溝通是他們工作的核心組成部分，并確保他們了解自己在促進(jìn)組織目標(biāo)方面的作用。

五月份，網(wǎng)絡(luò)安全解決方案公司Crossword Cybersecurity Plc發(fā)布了一份新 報告 ，表明英國公司越來越擔(dān)心網(wǎng)絡(luò)攻擊。在對 200 多名 CISO 和高級網(wǎng)絡(luò)安全專業(yè)人士的調(diào)查中，40% 的受訪者表示，他們目前的網(wǎng)絡(luò)安全戰(zhàn)略可能在短短兩年內(nèi)就會過時。另有 37% 的人表示這將在三年內(nèi)發(fā)生。

不斷增加的網(wǎng)絡(luò)攻擊數(shù)量加上不斷的技術(shù)創(chuàng)新意味著公司必須不斷更新其網(wǎng)絡(luò)安全戰(zhàn)略。超過五分之三 (61.4%) 的參與者表示自己對阻止網(wǎng)絡(luò)攻擊的能力“相當(dāng)有信心”。 

為了跟上網(wǎng)絡(luò)攻擊的風(fēng)險，公司需要在網(wǎng)絡(luò)安全解決方案上投入更多資金?？紤]到這一點(diǎn)，只有 44% 的受訪者表示他們擁有必要的手段來保護(hù)他們的組織免受近期和中期風(fēng)險以及技術(shù)趨勢的影響。公司迫切需要制定網(wǎng)絡(luò)安全戰(zhàn)略以減輕長期威脅。

“董事會必須確保首席信息安全官有必要的預(yù)算來控制短期問題，然后開始規(guī)劃長期的業(yè)務(wù)范圍戰(zhàn)略。這樣的戰(zhàn)略應(yīng)該得到標(biāo)準(zhǔn)運(yùn)營模型的支持，該模型為公司的整個供應(yīng)鏈提供強(qiáng)大的流程和政策。Crossword Cybersecurity plc 集團(tuán)董事總經(jīng)理 Stuart Jubb 在新聞稿中表示，每個月的延遲都會使企業(yè)面臨潛在的嚴(yán)重網(wǎng)絡(luò)攻擊。

根據(jù) Crossword 的說法，未來五年需要采取更具戰(zhàn)術(shù)性的方法。當(dāng)前的網(wǎng)絡(luò)安全戰(zhàn)略過于脆弱，必須通過綜合解決方案加以加強(qiáng)。此外，縮小技能差距應(yīng)該是重中之重，這意味著必須分配資源來雇用頂尖人才或培訓(xùn)現(xiàn)有員工。 

Jubb 爭辯道：“管理日常風(fēng)險是一項艱難的平衡行動，但如果首席信息安全官有合適的資源來提升他們的團(tuán)隊和工具的技能，利用人工智能帶來效率和自動化，以幫助保護(hù)他們的組織及其供應(yīng)鏈免受當(dāng)今的威脅”。

貨幣，進(jìn)入網(wǎng)絡(luò)安全行業(yè)的門檻太高了。公司應(yīng)該從更多元化的人才庫中招募人才，并聘請認(rèn)知心理學(xué)家、變革經(jīng)理和業(yè)務(wù)專家以及其他與游戲相關(guān)的專業(yè)人士。只關(guān)注那些擁有技術(shù)技能的人不會提供競爭優(yōu)勢。

目前，網(wǎng)絡(luò)安全專家認(rèn)為公司主要關(guān)注短期優(yōu)先事項，即軟件驗證和勒索軟件攻擊。在接下來的 12 個月中，四分之三的受訪者表示軟件驗證將是一個關(guān)鍵焦點(diǎn)，而 69% 的受訪者表示他們將過渡到云。此外，三分之二 (67%) 的參與者表示他們將專注于應(yīng)對勒索軟件攻擊的威脅。 

倫敦大學(xué)城市網(wǎng)絡(luò)安全研究所所長兼安全工程教授 Muttukrishnan Rajarajan 表示：“解決勒索軟件是研究領(lǐng)域的一個巨大關(guān)注領(lǐng)域，因此我對這項調(diào)查中的高分并不感到驚訝。在新聞稿中，我們經(jīng)?常被委托從事僅關(guān)注這一點(diǎn)的項目——對一家中小企業(yè)的攻擊可能會導(dǎo)致整個供應(yīng)鏈陷入停頓，正如我們最近通過 Log4J 代碼庫引入的漏洞所看到的那樣?！?nbsp;

解決這些直接威脅是不夠的。為了開發(fā)一種更強(qiáng)大的網(wǎng)絡(luò)安全方法，Crossword 建議利用員工的不同見解，無論是通過研討會還是集思廣益的風(fēng)險和相應(yīng)的解決方案的整個景觀。

這里，我們其實就明白了，為何我們的等級保護(hù)測評需要每年開展，風(fēng)險評估要定期開展。因為網(wǎng)絡(luò)安全這事，沒有一勞永逸的事情，而我們的網(wǎng)絡(luò)安全策略其實是非常容易過時的，加之我們?nèi)巳硕加卸栊?，往往喜歡“簡單”的事情，也為攻擊者降低了攻擊難度。所以，我們不是圣人，還得"時時勤拂拭，勿使惹塵埃",畢竟我們常常使他惹塵埃。