在新的威脅模式和來源,需要面對傳統信息安全防禦和風險管理策略,通過該計劃,技術改進和員工培訓計劃得到改善。許多網絡架構的確是國防保險公司的風險必須在承保時予以考慮,但必須理解的是,這些都不是強制性的做法。標准單一的強制性破壞良好的風險管理功能,增加成本,並可能以不斷變化的威脅提供虛假的保證。
一般來說,企業將專注於前兩大支柱,即網絡風險和防備和保護攻擊。事實上,對於網絡風險的性質,檢測和快速反應應該得到同等甚至更重要的考慮。企業必須有能力應對和恢複可能的網絡沖擊和故障。
CRO扮演的企業,也就是內達成一致意見,在審查風險管理的網絡中的重要作用,檢測和應變的重要性必須是一致的,並采取措施,以提高網絡的抗風險發揮了重要作用。
以下是一些企業可以考慮的實際步驟,以提高它們對網絡風險的適應能力:
企業必須清楚地知道什麼是最重要的、受保護的資產,包括信息內容和系統。通過對數據和系統的識別,了解企業的暴露和弱點。
保持與行業和政府機構的良好關系,以協助應變威脅和高端複雜的攻擊。
企業應建立全面的戰略和過程治理,以便了解監管、環境和操作要求。 如果董事會要能夠討論互聯網風險管理的過程並建立內部文化,首先應該讓董事會意識到它能夠接受互聯網風險造成的損失,這可以幫助企業制定一個單獨的網絡風險偏好規范或修訂現有的風險偏好標准(即風險偏好)。 獨立的風險偏好聲明有助於內部和外部溝通。
在現代商業環境中的網絡管理或網絡安全風險管理,應被視為優先事項之一。首先,必須有能夠識別的執行能力的威脅,此外,還包括流程控制和監控運營效率的開發和實施。其次,通過風險管理,應該明確的是,最佳做法,標准的要求,並應提供領導和審查的網絡行為的風險管理。
信息技術環境需要一個強大的過濾程序,其中包含大量的進出過程控制,其中可能包括外部相關人員或合作夥伴、離職員工、控制信息安全、控制信息保護過程等。這可以幫助過濾掉大部分潛在的威脅。
繼續威脅,脆弱性評估和控制是網絡攻擊的管理的重要組成部分。網絡攻擊很可能在某個時間點會是成功的,因此,企業必須清楚列明其最重要的資產。一旦最重要的資產顯然是鑒定和分離,保險公司可以借此分析網絡威脅,以了解的可能來源的威脅,它也可以預測,攻擊者甚至可以應變可以創建一個適當的方式,以適當的響應規模和複雜性的可能的攻擊。基於這些原則,我們可以設置的觀測站威脅的網絡,由以下單位提供的信息相結合:
一旦確定了威脅,公司可以審查現有的控制措施,以保護關鍵系統和信息。在此基礎上,可分析現有控制系統在壓力下正常運作的能力,或在必要時升級或更換系統以加強保護的能力。 它應包括正在進行的新方案,還應在早期階段納入控制要求,以最具成本效益的方式同時建設防禦能力和複原力。
這些重要資產的保護措施應盡可能加強保護功能和安全..安全的重點不應是一般的外圍保護,而應更多地關注實際沖擊的范圍(包括數據終端)以及它們之間可能聯系的領域。
適當的安全措施,有些可能是通過使用滲透測試,威脅評估,並鏈接到關鍵功能的實現,取決於企業的技術能力,並通過內部資源這樣做。但是,它可能是通過開展外部顧問或服務滲透測試更加實用。這可能是由特定的組織或企業造成的,提供“道德黑客”作為其服務之一。
與企業有合作關系的外包企業也接受企業的管理和監督。如果外包公司有權訪問企業的關鍵信息,則應特別注意其技術維護能力和員工素質。
如果第三方供應商可以接觸到關鍵的系統信息,或者是誰,他們的服務協議,供應商必須同意企業有審查權,考慮采取任何進一步分包企業必須獲得同意。此外,使用雲服務也逐漸擴大的安全也應考慮安全機制。由於代表IT部門的訪問的機制並不易於使用的控制,或雲供應商不理解他們的法律責任。除了所有的IT控制和監管機制和能力,企業可能會受到攻擊會增加。在這種情況下,你可以尋求安全聯盟雲(雲安全聯盟),以最佳的執行提供建議和信息。
COPYRIGHT 2024 BLOGSPOTHK. ALL RIGHTS RESERVED. PRIVACY POLICY