即使是最熟練的團隊也會發(fā)現(xiàn)，管理網(wǎng)絡(luò)安全是一件非常具有挑戰(zhàn)的事情。在這個不斷變化的環(huán)境中，團隊最關(guān)鍵的技能是什么? 

更廣泛地說，應(yīng)對網(wǎng)絡(luò)安全風險的團隊主要進行操作，更多的是技術(shù)性的工作。長期以來，這一領(lǐng)域一直被視為純粹的IT領(lǐng)域，企業(yè)已經(jīng)并將繼續(xù)提供技術(shù)資源。今天有待彌補的是網(wǎng)絡(luò)安全風險的組織、治理和管理，這些都是需要被納入企業(yè)主流的技能中。 

網(wǎng)絡(luò)攻擊者的方法和目標是如何演變的，這對企業(yè)的戰(zhàn)略意味著什么? 

網(wǎng)絡(luò)攻擊者迅速演變，預(yù)料到公司已經(jīng)采取和將要采取的措施。網(wǎng)絡(luò)攻擊者不斷識別和監(jiān)控受害者，使他們能夠領(lǐng)先一步。就公司而言，它們需要針對自己的保護戰(zhàn)略，保護敏感的東西，隔離關(guān)鍵資產(chǎn)，以避免鼓勵錯誤的大規(guī)模監(jiān)控保護。 

主動作為是降低網(wǎng)絡(luò)安全風險的關(guān)鍵，公司應(yīng)該實施哪些積極的措施? 

?確保公司意識到其安全需求，并通過讓業(yè)務(wù)經(jīng)理參與來明確定義這些需求：此行動的主要目標是針對要保護的資產(chǎn)。

?根據(jù)這一需求的表達，核實遵守程度：滿足這一需求所需的安全措施是否得到正確應(yīng)用?

?這只涉及對你的信息系統(tǒng)進行差距分析，以確定已經(jīng)應(yīng)用的措施的成熟程度。

?這些措施是否符合最新水平、符合公司標準(監(jiān)管或內(nèi)部標準)?

?根據(jù)這些結(jié)果，模擬風險，以檢查公司是否可能受到攻擊。

?定義了風險情景及其概率水平。對最有可能出現(xiàn)的情況進行優(yōu)先排序，以便采取糾正措施。 

合規(guī)性如何適應(yīng)更廣泛的網(wǎng)絡(luò)安全風險管理戰(zhàn)略?它是可靠的網(wǎng)絡(luò)安全戰(zhàn)略的推動者還是副產(chǎn)品? 

合規(guī)無疑是堅實的網(wǎng)絡(luò)安全戰(zhàn)略背后的驅(qū)動力之一。 

公司必須不斷質(zhì)疑自己對安全標準的遵守程度。這種以遵守為基礎(chǔ)的方法將促進持續(xù)改進進程的實施。成功恢復(fù)的制勝解決方案。 

你能談?wù)勔恍┯绊懝救绾喂芾砭W(wǎng)絡(luò)安全風險的全球法規(guī)，以及如何在端到端保護戰(zhàn)略中考慮這些風險嗎? 

到目前為止，唯一真正產(chǎn)生影響并提高所有領(lǐng)域和規(guī)模企業(yè)意識的法規(guī)是GDPR，即保護歐洲公民個人數(shù)據(jù)的法規(guī)。這項始于2018年的規(guī)定撼動了局面。公司被迫知道他們需要保護哪些數(shù)據(jù)，數(shù)據(jù)存儲在哪里，以及如何保護數(shù)據(jù)。因此，公司已經(jīng)開始認真對待安全問題，并了解其中的利害關(guān)系。 

在安全方面，監(jiān)管是提高公司成熟度的好方法。即將出臺的歐洲法規(guī)NIS2和DORA將產(chǎn)生重大影響。它們將影響很大一部分業(yè)務(wù)，并將在組織、職能和運營級別解決端到端信息安全問題。這就是它變得有趣的地方! 

對于希望改善網(wǎng)絡(luò)安全風險端到端管理的企業(yè)，你有什么建議? 

為了提供應(yīng)對其面臨的挑戰(zhàn)的安全，公司需要務(wù)實，確保必要和關(guān)鍵的東西，并確定其行動的優(yōu)先順序，你不可能保證所有東西的安全。風險分析必須是一個基本的工具，正是這種方法指導(dǎo)良好的安全做法。購買網(wǎng)絡(luò)安全工具而不知道在哪里應(yīng)用這些工具是沒有意義的。 

?確定你的關(guān)鍵資產(chǎn)。

?檢查你的合規(guī)水平。

?模擬和分析你的風險。

?根據(jù)已確定的風險采取必要措施。

?監(jiān)測與這些措施有關(guān)的行動計劃。