前面，我們?根據(jù)英國(guó)NCSC簡(jiǎn)單介紹了，關(guān)于網(wǎng)絡(luò)安全，領(lǐng)導(dǎo)層應(yīng)該了解什么，后來(lái)我們有分享了領(lǐng)導(dǎo)層應(yīng)該怎么做，今天結(jié)合這部分內(nèi)容，我們看看英國(guó)安全專(zhuān)家對(duì)網(wǎng)絡(luò)安全策略的看法。

關(guān)于網(wǎng)絡(luò)安全，領(lǐng)導(dǎo)層應(yīng)該怎么做？

將網(wǎng)絡(luò)安全集成到組織的目標(biāo)和風(fēng)險(xiǎn)中，如此重要有兩個(gè)原因。

首先，網(wǎng)絡(luò)安全會(huì)影響組織的各個(gè)方面。因此，為了正確管理網(wǎng)絡(luò)安全，必須被整合到組織風(fēng)險(xiǎn)管理和決策中。例如：

• 運(yùn)營(yíng)風(fēng)險(xiǎn)可能會(huì)受到網(wǎng)絡(luò)安全的支持，因?yàn)橐蕾?lài)于于使用的數(shù)字服務(wù)（電子郵件服務(wù)、定制軟件等）的安全性。
• 一些法律風(fēng)險(xiǎn)將與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)聯(lián)系在一起（例如保護(hù)數(shù)據(jù)或合作伙伴關(guān)系的合同要求，以特定方式處理數(shù)據(jù)的監(jiān)管要求）。
• 財(cái)務(wù)風(fēng)險(xiǎn)受到網(wǎng)絡(luò)安全的影響（例如，通過(guò)網(wǎng)絡(luò)實(shí)施的欺詐造成的資金損失，以及服務(wù)因網(wǎng)絡(luò)攻擊而脫機(jī)時(shí)的收入損失）。
• 良好的網(wǎng)絡(luò)安全還將允許您在使用新技術(shù)進(jìn)行創(chuàng)新時(shí)承擔(dān)一些風(fēng)險(xiǎn)。過(guò)于謹(jǐn)慎的風(fēng)險(xiǎn)處理方法可能導(dǎo)致錯(cuò)失商機(jī)或額外的（和不必要的）成本。

其次，網(wǎng)絡(luò)安全需要整合才能成功。良好的網(wǎng)絡(luò)安全不僅僅是擁有良好的技術(shù)，而是人們與安全部門(mén)建立良好的關(guān)系，并在整個(gè)組織中建立正確的流程來(lái)管理它。

例如，為了防止攻擊者訪(fǎng)問(wèn)敏感數(shù)據(jù)（同時(shí)確保只有具有當(dāng)前有效要求的人才能看到它），您將需要：

• 存儲(chǔ)數(shù)據(jù)的良好技術(shù)解決方案
• 對(duì)處理數(shù)據(jù)的員工進(jìn)行適當(dāng)?shù)呐嘤?xùn)
• 圍繞管理員工流動(dòng)的流程，與訪(fǎng)問(wèn)管理保持一致

在結(jié)構(gòu)中反映注意內(nèi)容：

網(wǎng)絡(luò)安全是整個(gè)領(lǐng)導(dǎo)層的責(zé)任，不要把網(wǎng)絡(luò)安全留給一個(gè)人。

網(wǎng)絡(luò)安全事件將影響整個(gè)組織的重要事件，不僅僅是IT部門(mén)的重要事件。例如，可能會(huì)影響在線(xiàn)銷(xiāo)售，影響合同關(guān)系或?qū)е路苫虮O(jiān)管行動(dòng)。領(lǐng)導(dǎo)層內(nèi)部應(yīng)有足夠的專(zhuān)業(yè)知識(shí)，以便為網(wǎng)絡(luò)安全戰(zhàn)略提供指導(dǎo)，并將決策追究責(zé)任。然而，領(lǐng)導(dǎo)層的每個(gè)成員都需要足夠的專(zhuān)業(yè)知識(shí)來(lái)了解它如何影響他們的重點(diǎn)領(lǐng)域，并了解對(duì)整個(gè)組織的廣泛影響。

英國(guó)境外的網(wǎng)絡(luò)安全：在嘗試了解網(wǎng)絡(luò)安全對(duì)組織的影響和風(fēng)險(xiǎn)時(shí)，一個(gè)重要的考慮因素是組織在哪個(gè)國(guó)家/地區(qū)運(yùn)營(yíng)。對(duì)于那些在英國(guó)境外運(yùn)營(yíng)或在英國(guó)境外擁有合作伙伴的組織，CPNI智能業(yè)務(wù)指南強(qiáng)調(diào)了這可能如何影響安全考慮因素，包括網(wǎng)絡(luò)安全。本工具包的“與供應(yīng)商和合作伙伴協(xié)作”部分提供了有關(guān)如何緩解與這些關(guān)系相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的指導(dǎo)。

與專(zhuān)家互動(dòng)

考慮報(bào)告結(jié)構(gòu)是否使領(lǐng)導(dǎo)層能夠參與其所需的網(wǎng)絡(luò)安全。如果CISO向領(lǐng)導(dǎo)層報(bào)告的中介機(jī)構(gòu)只關(guān)注一個(gè)方面，無(wú)論是財(cái)務(wù)還是法律或技術(shù)-這可能會(huì)阻礙領(lǐng)導(dǎo)層看到網(wǎng)絡(luò)安全更廣泛影響的能力。現(xiàn)在在大多數(shù)組織中，CISO直接向領(lǐng)導(dǎo)層報(bào)告。

改善組織中網(wǎng)絡(luò)安全的一個(gè)好起點(diǎn)是考慮專(zhuān)家與領(lǐng)導(dǎo)層成員之間的溝通。獲得正確的結(jié)構(gòu)可能會(huì)有所幫助，但我們也經(jīng)常看到雙方都不愿意參與，因?yàn)椋?/p>

• 技術(shù)人員認(rèn)為領(lǐng)導(dǎo)層不會(huì)理解他們（屬于臆測(cè)）
• 領(lǐng)導(dǎo)層認(rèn)為技術(shù)人員無(wú)法在組織戰(zhàn)略目標(biāo)的背景下解釋問(wèn)題（同樣屬于臆測(cè)）

改善這兩個(gè)群體之間的溝通需要雙方的努力：

• 領(lǐng)導(dǎo)層需要對(duì)網(wǎng)絡(luò)安全有足夠深入的了解，才能了解網(wǎng)絡(luò)安全如何支持其整體組織目標(biāo)
• 技術(shù)人員需要認(rèn)識(shí)到網(wǎng)絡(luò)風(fēng)險(xiǎn)的溝通是他們工作的核心組成部分，并確保他們了解自己在促進(jìn)組織目標(biāo)方面的作用。

五月份，網(wǎng)絡(luò)安全解決方案公司Crossword Cybersecurity Plc發(fā)布了一份新 報(bào)告 ，表明英國(guó)公司越來(lái)越擔(dān)心網(wǎng)絡(luò)攻擊。在對(duì) 200 多名 CISO 和高級(jí)網(wǎng)絡(luò)安全專(zhuān)業(yè)人士的調(diào)查中，40% 的受訪(fǎng)者表示，他們目前的網(wǎng)絡(luò)安全戰(zhàn)略可能在短短兩年內(nèi)就會(huì)過(guò)時(shí)。另有 37% 的人表示這將在三年內(nèi)發(fā)生。

不斷增加的網(wǎng)絡(luò)攻擊數(shù)量加上不斷的技術(shù)創(chuàng)新意味著公司必須不斷更新其網(wǎng)絡(luò)安全戰(zhàn)略。超過(guò)五分之三 (61.4%) 的參與者表示自己對(duì)阻止網(wǎng)絡(luò)攻擊的能力“相當(dāng)有信心”。 

為了跟上網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，公司需要在網(wǎng)絡(luò)安全解決方案上投入更多資金。考慮到這一點(diǎn)，只有 44% 的受訪(fǎng)者表示他們擁有必要的手段來(lái)保護(hù)他們的組織免受近期和中期風(fēng)險(xiǎn)以及技術(shù)趨勢(shì)的影響。公司迫切需要制定網(wǎng)絡(luò)安全戰(zhàn)略以減輕長(zhǎng)期威脅。

“董事會(huì)必須確保首席信息安全官有必要的預(yù)算來(lái)控制短期問(wèn)題，然后開(kāi)始規(guī)劃長(zhǎng)期的業(yè)務(wù)范圍戰(zhàn)略。這樣的戰(zhàn)略應(yīng)該得到標(biāo)準(zhǔn)運(yùn)營(yíng)模型的支持，該模型為公司的整個(gè)供應(yīng)鏈提供強(qiáng)大的流程和政策。Crossword Cybersecurity plc 集團(tuán)董事總經(jīng)理 Stuart Jubb 在新聞稿中表示，每個(gè)月的延遲都會(huì)使企業(yè)面臨潛在的嚴(yán)重網(wǎng)絡(luò)攻擊。

根據(jù) Crossword 的說(shuō)法，未來(lái)五年需要采取更具戰(zhàn)術(shù)性的方法。當(dāng)前的網(wǎng)絡(luò)安全戰(zhàn)略過(guò)于脆弱，必須通過(guò)綜合解決方案加以加強(qiáng)。此外，縮小技能差距應(yīng)該是重中之重，這意味著必須分配資源來(lái)雇用頂尖人才或培訓(xùn)現(xiàn)有員工。 

Jubb 爭(zhēng)辯道：“管理日常風(fēng)險(xiǎn)是一項(xiàng)艱難的平衡行動(dòng)，但如果首席信息安全官有合適的資源來(lái)提升他們的團(tuán)隊(duì)和工具的技能，利用人工智能帶來(lái)效率和自動(dòng)化，以幫助保護(hù)他們的組織及其供應(yīng)鏈免受當(dāng)今的威脅”。

貨幣，進(jìn)入網(wǎng)絡(luò)安全行業(yè)的門(mén)檻太高了。公司應(yīng)該從更多元化的人才庫(kù)中招募人才，并聘請(qǐng)認(rèn)知心理學(xué)家、變革經(jīng)理和業(yè)務(wù)專(zhuān)家以及其他與游戲相關(guān)的專(zhuān)業(yè)人士。只關(guān)注那些擁有技術(shù)技能的人不會(huì)提供競(jìng)爭(zhēng)優(yōu)勢(shì)。

目前，網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為公司主要關(guān)注短期優(yōu)先事項(xiàng)，即軟件驗(yàn)證和勒索軟件攻擊。在接下來(lái)的 12 個(gè)月中，四分之三的受訪(fǎng)者表示軟件驗(yàn)證將是一個(gè)關(guān)鍵焦點(diǎn)，而 69% 的受訪(fǎng)者表示他們將過(guò)渡到云。此外，三分之二 (67%) 的參與者表示他們將專(zhuān)注于應(yīng)對(duì)勒索軟件攻擊的威脅。 

倫敦大學(xué)城市網(wǎng)絡(luò)安全研究所所長(zhǎng)兼安全工程教授 Muttukrishnan Rajarajan 表示：“解決勒索軟件是研究領(lǐng)域的一個(gè)巨大關(guān)注領(lǐng)域，因此我對(duì)這項(xiàng)調(diào)查中的高分并不感到驚訝。在新聞稿中，我們經(jīng)?常被委托從事僅關(guān)注這一點(diǎn)的項(xiàng)目——對(duì)一家中小企業(yè)的攻擊可能會(huì)導(dǎo)致整個(gè)供應(yīng)鏈陷入停頓，正如我們最近通過(guò) Log4J 代碼庫(kù)引入的漏洞所看到的那樣。” 

解決這些直接威脅是不夠的。為了開(kāi)發(fā)一種更強(qiáng)大的網(wǎng)絡(luò)安全方法，Crossword 建議利用員工的不同見(jiàn)解，無(wú)論是通過(guò)研討會(huì)還是集思廣益的風(fēng)險(xiǎn)和相應(yīng)的解決方案的整個(gè)景觀。

這里，我們其實(shí)就明白了，為何我們的等級(jí)保護(hù)測(cè)評(píng)需要每年開(kāi)展，風(fēng)險(xiǎn)評(píng)估要定期開(kāi)展。因?yàn)榫W(wǎng)絡(luò)安全這事，沒(méi)有一勞永逸的事情，而我們的網(wǎng)絡(luò)安全策略其實(shí)是非常容易過(guò)時(shí)的，加之我們?nèi)巳硕加卸栊裕矚g“簡(jiǎn)單”的事情，也為攻擊者降低了攻擊難度。所以，我們不是圣人，還得"時(shí)時(shí)勤拂拭，勿使惹塵埃",畢竟我們常常使他惹塵埃。