博客

4顶技巧:如何分享网络风险在你的公司

Abdeslam Afras

2020年8月19日

在这一刻,许多个人和企业认为现在事情会或多或少恢复正常,但似乎远程工作人员的概念,现在将在这里呆了很长一段时间。但是,尽管这一切,有一些好的已经来临了这一点。也就是说,美国公司现在了解需要接受所谓的网络风险在更严重的程度,并试图尽可能减轻它的严重性。


究竟什么是网络风险?

这个词可以有许多不同的含义既CIO和首席信息安全官。但它的良好的技术定义如下:

“网络安全风险暴露或从你的组织网络攻击或数据泄漏造成的损失的可能性。一个更好的,更具包容性的定义是一个组织的潜在损失或与之相关的技术基础设施的危害,使用技术,或声誉“。1

在这一点上,你和你的计算机安全小组正在采取一切资产的清单,你在你的公司,无论是数字和物理性质的都有。从这里,基于数字类别的系统,您选择使用,你的排名所有的人都被在被暴露在网络安全攻击那些将有被撞击的概率最小的概率最高。一旦你已经确定这一点,那么你从财务角度看是什么,估计美元的损失将在停机时计算。当然,与受到影响的几率最高这些资产极有可能不得不与他们相关的最美元的损失。但是你这个量化的尽可能多的,所以你就会知道如何进一步增强您的网络安全态势是必不可少的。

如何分享网络风险在你的公司

现在,你有一个更稳固的想法,什么网络风险是,有一种误解,认为需要进行清理。人们常常假设,IT部门应该承担它含有的冲击;毕竟,这是他们的工作,对不对?嗯,很坦率地说,答案是否定的。在这一点上,它是每一位员工都从C-Suite中的一路下跌至隔夜保洁人员,负责本。

换句话说,需要迅速实施一种新的思维,激进的方式。那么,如何去这样做呢?下面是一些需要考虑的要点:

1)你需要传达网络风险的真实成本

    目前,网络攻击的平均成本远高于$ 110万,而且只有37%的机会,您的公司将能够完全恢复他们的情况下,品牌的美誉度是一直影响。有了这样高的统计,赔率是,你甚至有可能关闭的操作,在失去工作当然结果这将。这些数字需要转达给您所有的部门的每一个员工,使他们能够来处理它,以及了解,以减轻失去他们的就业风险,维护网络良好的卫生水平的绝对重要性。

    2)分发相应责任

      员工往往被认为是安全链中最薄弱的环节。但他们没有要。根据最新的Verizon数据失窃调查报告,所有相关的网际违规的93%回落到网络钓鱼相关的攻击。如果这些组织的员工得到应有的训练,被打的这方面的几率会大大降低。这种潜意识的观点是好的,所以如果我们被击中?我们的网络专家可以修复它,对吗?那么,这个问题的答案显然是错误的。IT安全团队是如此不堪重负,这些天,他们未必能够迅速作出反应,以减少已被这种情况下造成的任何进一步的风险,从而增加了Cyber​​attacker会引起更大的伤害的机会。在培训中,他们应该被给予,则需要坚定地强调你的员工,这是正视自己的责任留意网络钓鱼电子邮件,以及为了应对它适当地通过删除,或及时通知IT安全人员。但是,你需要给你的员工的工具来做到这一点,让他们了解最新的趋势,网络钓鱼变种,使他们能够做好自己的本分,以减少对这种网络风险的。

      3)共享信息和数据与各方

        今天,往往是IT部门和IT安全团队之间划分线。前者认为,他们的工作是首先确保在IT和网络基础设施以最佳状态运行,而后者认为,他们需要做的仅仅是保持领先的网络威胁曲线。虽然这些都是其独特的工作职能,事情的真相是,这两个应该齐头并进,以保持公司良好的保护。因此,有关网络威胁环境的任何信息/数据不应该被保存在单独的孤岛。它需要共享,在不同程度上与贵公司的所有部门应该有权访问它。例如,有研究表明,它需要至少60分钟(甚至可能更多)的CIO和/或CISO和他们的团队以应对安全漏洞。这主要是由于缺乏沟通的流程已部署。这个响应时间需要被削减到短短几分钟的事。但是,这当然只能如果这些信息孤岛/数据团队之间的共享来完成。

        4)部署右网络安全框架

          其中一个在您共享网络风险贯穿整个公司的责任的最佳方法是实现一个很好的框架,这将支持它的适当的控制。下面是一些比较常用的那些如下:

          • 在PCI DSS
          • 在ISO 27001/27002
          • NIST的框架提升关键基础设施安全

            尽管所有这些都是很好的,还有另一种很好的框架,现在使得其飞溅。这就是所谓的“零信任框架。”换句话说,你不能相信在您的环境中任何事物。什么都应该被认为是一种风险。这里的座右铭是:“永远不要相信,始终验证。”

            结论

            本文提供了一个窥探到什么网络风险是一回事,并使它的整个减轻整个公司的协作努力的重要性。以后的文章会做更加深入地了解了零信任框架,以及一些提示,以你如何实现它。

            来源

            联系我们今天更多地了解我们的产品和我们的
            办法来提高你如何收集,分析和利用数据。
            告诉我更多