网络安全——最高管理层的责任

在当今数字化和互联的运营环境中,网络威胁是一个日益严重的现象。使业务转型成为可能的技术也使网络犯罪成为可能或产生网络犯罪。在最坏的情况下,网络攻击或入侵可能对公司造成毁灭性的影响。这就是为什么网络安全应该在最高管理层和董事会的议程上具有高度优先级。

“网络安全还没有真正严格的定义,但在实践中,它指的是随着数字化转型以及我们对相关数字系统和服务的依赖的进展,影响组织和整个社会的新型安全相关挑战,”他说Arttu Lehmuskallio芬兰交通和通信局国家网络安全中心主任。

网络安全也可以指组织可以用来保护其关键业务系统、软件、设备和数据通信网络免受任何网络威胁的措施。反过来,网络威胁是有害的事件或过程,可以影响组织的运营、财务、数据、声誉,在最坏的情况下,还会影响其业务的连续性。

通过他的工作,Lehmuskallio有长期处理网络事件的经验,并习惯于从风险的角度看待事物。“我有时会半认真地想,我们是否真的知道数字化转型将走向何方。我们真的了解它的所有风险和后果吗?”

开放的交流对每个人都有好处

拒绝服务攻击,勒索软件,数据泄露,CEO欺诈,社会工程....数字操作环境为IT和OT环境中的犯罪分子提供了许多机会,任何依赖技术的企业,无论大小,都有成为网络犯罪目标的风险。

受到直接攻击的不一定是您自己的组织。

Lehmuskallio解释说:“让情况更加复杂的是,受到直接攻击的不一定是你自己的组织——它可能是你业务网络中的某个组织,它的困难随后会对你的业务产生重大影响。”

了解组织之间的这种数字互连是网络威胁预防的关键部分。例如,确保各方遵守网络安全标准并公开分享有关威胁的信息就很重要。

“一般来说,一个部门或集群内的所有组织都将受益于最佳实践的分享,也受益于就他们所经历的网络攻击进行公开交流和对话。”

网络安全是最高管理层的责任

网络安全以前被认为是IT安全专业人员所关注的问题。然而,由于高管和其他人越来越意识到网络威胁及其对企业潜在的毁灭性影响,这种情况正在发生变化。网络安全正日益成为高层管理和董事会层面关注的问题——而且应该如此。

“根据芬兰公司最近的一项研究,高层管理人员参与并优先考虑网络安全的组织对网络攻击准备得更好,也最有能力迅速从攻击中恢复过来。这些组织已经接受了一个事实,即预防网络威胁需要持续的分析和投资,”Lehmuskallio说。

由于潜在的巨大影响,网络安全应成为公司风险管理的一个组成部分,网络攻击恢复计划需要包括在综合业务连续性计划中。同样值得记住的是,与许多其他风险相比,与网络安全相关的风险需要更频繁地评估——最好是实时评估。所有这些使得网络安全成为一个战略层面的问题。

“例如,当从一个服务中发现一个新的漏洞时,它不仅会立即使以前被认为是安全的服务变得不安全,而且还会回溯。这意味着系统在其整个生命周期中都可能是不安全的。不能保证这个漏洞几年前就没有被发现和利用过。”

适当的战略支持网络安全决策

精心制定的网络安全战略是指导组织向更安全的IT和OT系统发展,并加强日常操作中的安全常规的好工具。例如,网络安全战略流程可以包括对潜在风险的识别和评估,对组织(包括其业务网络)网络安全现状的现实评估,以及有关发展领域和资源分配的决策。

大约90%的网络攻击是通过个人进行的。

Lehmuskallio说:“战略还应说明组织的网络安全相关目标和目标,以及有助于实现这些目标的手段、行动和惯例。”

此外,通过沟通、培训和危机演习提高人员对网络威胁的意识也很重要。

大约90%的网络攻击是通过个人进行的,而人员通常被认为是最薄弱的环节。这是可以理解的,因为我们人类很容易成为目标——我们强调,我们想要取悦,我们不想被羞辱等等。

“但是,在我看来,创建一个网络安全的环境和文化,帮助个人坚持安全的日常生活,做出正确的决定,并限制员工个人可能造成的损害,是一个组织及其最高管理层的责任。”

熟能生巧,这是一个不应该错过的机会

网络安全演习是在实践中测试组织的危机管理指导方针、流程和角色,以及提高其危机容忍度和加速从网络安全事件中恢复的绝佳方式。

Lehmuskallio说:“公司应该把演习看作是一种危机情境,它可以选择时间和效果——可以说是一种‘自由’危机。”演习的一些额外好处是在发生严重安全事件时提高员工和决策者的观察、反应和恢复技能,以及更快地将资源分配到被确定为脆弱地区。

Lehmuskallio总结道:“对供应商依赖关系的深入了解以及对网络环境中个别威胁的识别和管理也是非常重要的。”

文本桑娜Haanpää-Liukko

芬兰国家网络安全中心

NCSC-FI发展和监测通信网络和服务的业务可靠性和安全。它提供了网络安全的态势感知。NCSC-FI是芬兰交通和通信局Traficom的一部分。