本文档中列出的优秀实践是从事件响应活动和网络风险管理中吸取的经验教训汇编而成的。
老板们应该了解公司面临的网络安全威胁吗?
老板们应该就潜在的网络安全威胁提出以下问题:
- 网络安全威胁如何影响企业的不同职能,包括供应链、公共关系、财务和人力资源等领域?
- 哪些类型的关键信息可能会丢失(例如,商业机密、客户数据、研究、个人身份信息)?
- 我的企业如何建立长期弹性以最大限度地降低网络安全风险?
- 我的企业参与了什么样的网络威胁信息共享?我的企业与谁交换这些信息?
- 我的企业可以采用哪些类型的信息共享实践来帮助在企业所属的不同网络安全团体之间建立社区?
老板们可以采取哪些措施来缓解网络安全威胁?
以下问题将帮助 老板们指导与管理层讨论网络安全风险:
- 将网络安全威胁通知行政领导层的门槛是多少?
- 公司目前的网络安全风险水平如何?
- 目前的网络安全风险水平对公司的业务可能产生哪些影响?
- 有什么计划来应对已识别的风险?
- 员工可以获得哪些网络安全培训?
- 采取了哪些措施来减轻内部威胁?
- 网络安全计划如何应用行业标准和最佳实践?
- 网络安全计划指标是否可衡量且有意义?
- 网络安全事件响应计划以及业务连续性和灾难恢复计划有多全面?
- 多久执行一次计划?
- 计划是包含整个公司还是仅限于信息技术 (IT)?
- 企业是否准备好与联邦、州和地方政府网络事件响应者和调查人员以及合同响应者和供应商社区合作?(这块在国内考虑网信、公安、保密等监管部门建立协调机制)?
推荐的组织网络安全优秀实践
下面列出的网络安全最佳实践可以帮助组织管理网络安全风险。
(1) 将网络安全风险管理讨论提升至公司老板们和领导团队。
- 高管应自上而下制定政策,以确保每个人都有权执行与其在降低网络安全风险方面的角色相关的任务。自上而下的策略定义角色并限制可能损害 IT 安全的权力斗争。
- 老板们和公司高级领导层参与定义组织的风险战略和可接受的风险水平对于全面的网络安全风险计划至关重要。在首席信息安全官、首席信息官和整个领导团队的协助下,公司老板们应该确保知道他们的部门如何影响公司的整体网络风险。此外,与公司董事会就这些风险决策进行定期讨论可确保所有公司决策者都能看到。
(2) 实施行业标准和最佳实践,而不是仅仅依赖合规性标准或认证。
- 通过实施行业基准和最佳实践(例如,遵循互联网安全中心等组织的最佳实践)来降低网络安全风险。组织应定制最佳实践,以确保它们与其特定用例相关。
- 遵循一致的最佳实践来建立预期企业网络行为的组织基线。这使组织能够主动应对网络安全威胁,而不是花费资源来“灭火”。
- 合规标准和法规(例如,联邦信息安全现代化法案)提供了最低要求的指导;然而,还有更多的企业可以做来超越要求。
(3) 评估和管理特定于组织的网络安全风险。
- 确定组织的关键资产以及网络安全威胁对这些资产的相关影响,以了解组织的特定风险敞口——无论是财务、竞争、声誉还是监管。风险评估结果是确定和优先考虑特定保护措施、分配资源、为长期投资提供信息以及制定管理网络安全风险的政策和战略的关键输入。
- 提出必要的问题,以了解安全规划、运营和安全相关目标。例如,最好通过实施整体安全控制而不是询问特定的安全控制、保护措施和对策来关注组织将实现的目标。
- 将网络企业风险讨论集中在“假设”情况上,抵制“这里不可能发生”的思维模式。
- 创建一个可重复的流程,对员工进行交叉培训,将风险和事件管理作为一种制度实践。通常,只有少数员工在关键领域具有主题专业知识。
(4) 确保网络安全风险指标有意义且可衡量。
- 一个有用指标的示例是组织修补整个企业的关键漏洞所需的时间。在这个例子中,减少修补漏洞所需的天数直接降低了组织的风险。
- 一个不太有用的指标的示例是安全运营中心 (SOC) 在一周内收到的警报数量。SOC 接收到的警报数量变量太多,无法始终保持相关性。
(5) 为事件响应、业务连续性和灾难恢复制定和实施网络安全计划和程序。
- 组织在整个组织中测试其事件响应计划至关重要,而不仅仅是在 IT 环境中。组织的每个部分都应该知道如何应对基本和大规模的网络安全事件。测试事件响应计划和程序有助于防止事件升级。
- 事件响应计划应提供有关何时将事件提升到下一级领导层的指示。定期执行事件响应计划使组织能够快速响应事件并将影响降至最低。
(6) 留住高素质的劳动力。
- 网络安全工具的好坏取决于查看工具结果的人。拥有能够为组织确定合适工具的人员也很重要。学习复杂组织的企业网络可能需要大量时间,因此留住技术人员与获取他们一样重要。阻止所有网络安全威胁没有完美的答案,但知识渊博的 IT 人员对于降低网络安全风险至关重要。
- 新的网络安全威胁不断出现。受托检测网络安全威胁的人员需要持续培训。培训增加了人员检测网络安全威胁并以符合行业最佳实践的方式应对威胁的可能性。
- 确保有适当的计划来解决与减轻网络安全风险相关的额外工作量。
- 网络安全正在成为一门以任务为导向的正式学科,需要与关键知识、技能和能力保持特定的一致性。在国内首创的网络安全职业和研究(NICCS)是人力资源规划的有用资源。
(7) 保持对网络安全威胁的态势感知。
- 订阅有关新兴网络安全威胁的通知(例如,国家网络意识系统产品、MITRE 常见漏洞暴露、CERT 协调中心漏洞说明)。如果可能,创建一份关于组织最近面临的网络安全威胁(例如,网络钓鱼电子邮件、恶意软件、勒索软件)的摘要,以分发给 IT 部门以外的人员,以帮助加强他们在降低网络安全风险方面的作用。
- 探索可用的兴趣社区。这些可能包括特定部门的信息共享和分析中心、国土信息共享网络或其他政府和情报计划。