博客与新闻

亚信互联 认为创建成功的安全网络形象应该容易且负担得起。在这里,您将找到我们的最新 SSL 新闻,行业文章和新闻稿。

在 COVID 中有效进行网络安全领导的 7 条原则


在 COVID 中有效进行网络安全领导的 7 条原则


COVID 中的网络安全领导力

去年,当 COVID-19 大流行在全球蔓延时,远程工作突然成为新的规范。结果,网络安全行业也面临许多挑战。尽管许多组织已开始缓慢地过渡到现场工作,但是工作模型仍未完全转变为以前的样子。直到大流行彻底结束,大批员工仍必须轮班进行远程工作,以保持与社会保持距离的习惯。网络安全行业的领导者,特别是首席信息安全官,现在在其组织中面临更强大的战略角色。尽管现在工作模型本质上是混合的,但仍大量采用在家工作的工具,并且更多地使用云服务。

现在有哪些新的网络安全挑战?

冠状病毒大流行为网络安全领导力提出了新的挑战。让我们来看看其中的一些。

  • 由于劳动力分布在现场和非现场地点,因此社会工程攻击变得更加有效和容易
  • 专为识别不规则模式而设计的安全操作中心(SOC)现在具有部分可见性
  • 对个人设备和家庭网络的依赖性增加为众多网络攻击媒介铺平了道路
  • 勒索软件攻击以医院和医疗服务的形式发现了新的易受攻击的目标,而拒绝服务(DoS)攻击的发生频率更高

为了将这些挑战变为现实,网络安全领导者需要超越合规性指标,并努力实现组织中的共享所有权。主要挑战在于保护基础架构和数字资产,同时确保不间断的运营。因此,网络安全团队现在必须调整其安全和风险管理计划,以允许采用在家工作的工具和云服务。

世界经济论坛的一份报告题为“网络安全领导原则:COVID-19 大流行期间的经验教训,为新常态做准备”,提出了网络安全领导的五项原则,以平衡短期目标和长期目标。

1.培育网络弹性文化

数字环境存在于一个非常动态的生态系统中。因此,经常发生威胁在相应法规之前出现并发展的方式。为了在大流行期间避免这种情况,必须将事件响应和业务连续性作为优先事项。需要教会员工比以往任何时候都更具网络弹性。组织安全应被视为每个人的责任。因此,安全领导者需要通过定期培训员工如何识别欺诈者,网络钓鱼企图,信用卡欺诈和恶意软件防护来确保履行此职责。他们还需要接受有关网络攻击者在这种大流行期间部署的所有新技术的教育。

2.保护组织的重要资产和服务

网络安全领导者需要对关键服务,应用程序,供应商和资产具有整体和系统的看法,以便确定可能因危机而导致影响收入,员工,服务连续性和客户的潜在后果。因此,他们需要维护其数字资产帐户,以确保有效的漏洞管理程序。应该有一个分层的访问机制,该机制只允许特权用户访问敏感信息。

3.在危机期间和危机之后平衡风险相关的决策

随着企业的风险状况发生了显着变化,网络安全领导者应在事后评估与风险相关的决策之间取得平衡。随着零售和就业市场的急剧变化,为了适应不断变化的需求,新应用程序的开发突然增多。因此,其中许多都匆匆推出,同时仍然存在错误和配置问题。这些应用程序可能威胁到组织的供应链,因为黑客可以轻松地识别和利用价值链中的漏洞。在整个供应链流程中做出明智的决定很重要。

4.在业务过渡期间更新和实践您的响应和连续性计划

危机管理是每个业务连续性计划的关键。一个仅专注于分析和减轻风险的组织通常无法有效地处理突发性和意外的危机。在如此大的危机中,我们需要拥有跨职能的团队以及详细的计划,以培训具有不同角色的员工。随着数字化的持续快速发展,我们需要以敏捷和快速的方式适应网络风险,并使其与战略重点和业务风险承受能力保持一致。

5.加强全生态系统的合作

公共部门和私营部门的领导者需要合作并参与各种举措,以保护生态系统免受当前和新出现的网络威胁的影响。此外,组织还需要将其供应商放在同一页面上,以有效地实施网络安全控制,从而鼓励第三方进行监管调整。

6.转向无信任运营模式

在后 Covid-19 的世界中,领导层应采用不信任的身份和访问管理流程。根据 Pulse Secure 的 2020年《信任进度报告》,有72%的组织赞成评估和实施“零信任”政策以减轻网络风险。该概念依赖于持续的授权和验证,并且不信任任何利益相关者,包括最终用户。作为此模型的一部分,组织应实施安全协议,例如生物识别技术和多因素身份验证,以减少攻击的威胁。

7.保护远程劳动力

在大多数组织中,远程劳动力的趋势将持续一段时间。根据 ESG 的一项研究,IT 行业的高管中有79%表示,即使在大流行结束后,他们也将对在家办公的工作保持灵活态度。这要求网络安全领导者对安全计划进行战略性更改。

他们必须通过实施分层防御来确保远程连接的安全,该分层防御可以检测来自远程连接端点的可疑活动。为了减少从检测到缓解所需的时间,组织应投资于可以提高监视和快速响应能力的解决方案。因此,他们可以远程监视员工,协作工具和第三方,并及时发现异常活动。

结论

不能指望网络安全领导者能够在当前情况下实现完美的安全性。尽管如此,有效地管理网络风险仍可以使企业在此不确定的时期内实现更好,更快的转型,以保持领先地位。最后,复原力是生存的关键。

上一篇:IETF 正式弃用 TLS 1.0 和 TLS 1.1 [2021年03月25日]

下一篇:导航的更安全默认值:HTTPS [2021年04月22日]