因此,定期回顾基础知识至关重要,即使这看起来平凡或多余。最近,在我发表了关于零信任的演讲后,有人提到零信任涵盖了他们已经熟悉的基本概念。我很感谢他们的反馈,但回复询问他们的组织是否已完全实施了我讨论的做法。这个人承认他们没有。
而是一种持续的、动态的意图,需要不断调整和完善。实际上,100% 的安全并不存在,因此没有最终目标可以实现。理论上,你可以将所有服务器基础设施埋入地下 50 英尺,并用水泥包裹起来,以实现完全的安全,但这对企业来说代价是什么?安全始终是一种在功能和风险之间取得平衡的行为。因此,我们必须不断问自己:价值和好处是什么?风险和暴露是什么,好处值得冒这个险吗?
任何网络安全计划要想取得成功,组织都必须建立并传达明确的安全态势。这包括定义可接受的风险水平,并持续管理新风险和新功能。然而,当今网络安全的最大问题之一是许多组织缺乏明确的安全态势。高管通常在一种不完善的模式下运作,他们拥有所有权力,而首席信息安全官承担所有责任,但没有相应的决策权。这导致一种情况,即业务部门领导可以无视安全警告来 巴西 whatsapp 数据 提高短期收益,而首席信息安全官则要为违规行为负责。
随着欧洲推出NIS2和DORA法规,以及美国和世界其他地区出台新规定,非技术高管和董事会成员越来越多地被要求对其组织的网络安全态势负责。这些法规不仅规定了财务和声誉风险,而且在某些情况下还规定了刑事责任。这种转变意味着适应能力和保持韧性必须是重中之重。韧性不仅仅是恢复,它还关乎建立一种从每一次安全事件中学习和发展的文化。
组织有效应对的能力取决于是否拥有既定且行之有效的程序,并利用新技术创新,因此,强调恢复、学习和适应的必要性。这种动态方法不是“一次性”的练习,而是一个持续的过程。应不断开发和调整流程,以适应新出现的威胁和创新。这种适应性确保随着战略组合的发展,安全态势也会随之发展,在不断变化的环境中保持相关性。
将安全态势与网络弹性策略相结合不仅可以防止入侵,还可以确保在发生事件时快速恢复。这种结合可以最大限度地减少停机时间、财务损失和声誉损害,尤其是在面对勒索软件等不断演变的威胁时。