即使是最熟練的團(tuán)隊(duì)也會(huì)發(fā)現(xiàn)，管理網(wǎng)絡(luò)安全是一件非常具有挑戰(zhàn)的事情。在這個(gè)不斷變化的環(huán)境中，團(tuán)隊(duì)最關(guān)鍵的技能是什么?
　　更廣泛地說，應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的團(tuán)隊(duì)主要進(jìn)行操作，更多的是技術(shù)性的工作。長(zhǎng)期以來，這一領(lǐng)域一直被視為純粹的IT領(lǐng)域，企業(yè)已經(jīng)并將繼續(xù)提供技術(shù)資源。今天有待彌補(bǔ)的是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的組織、治理和管理，這些都是需要被納入企業(yè)主流的技能中。

　　網(wǎng)絡(luò)攻擊者的方法和目標(biāo)是如何演變的，這對(duì)企業(yè)的戰(zhàn)略意味著什么?

　　網(wǎng)絡(luò)攻擊者迅速演變，預(yù)料到公司已經(jīng)采取和將要采取的措施。網(wǎng)絡(luò)攻擊者不斷識(shí)別和監(jiān)控受害者，使他們能夠領(lǐng)先一步。就公司而言，它們需要針對(duì)自己的保護(hù)戰(zhàn)略，保護(hù)敏感的東西，隔離關(guān)鍵資產(chǎn)，以避免鼓勵(lì)錯(cuò)誤的大規(guī)模監(jiān)控保護(hù)。

　　主動(dòng)作為是降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)鍵，公司應(yīng)該實(shí)施哪些積極的措施?

　　•確保公司意識(shí)到其安全需求，并通過讓業(yè)務(wù)經(jīng)理參與來明確定義這些需求：此行動(dòng)的主要目標(biāo)是針對(duì)要保護(hù)的資產(chǎn)。

　　•根據(jù)這一需求的表達(dá)，核實(shí)遵守程度：滿足這一需求所需的安全措施是否得到正確應(yīng)用?

　　•這只涉及對(duì)你的信息系統(tǒng)進(jìn)行差距分析，以確定已經(jīng)應(yīng)用的措施的成熟程度。

　　•這些措施是否符合最新水平、符合公司標(biāo)準(zhǔn)(監(jiān)管或內(nèi)部標(biāo)準(zhǔn))?

　　•根據(jù)這些結(jié)果，模擬風(fēng)險(xiǎn)，以檢查公司是否可能受到攻擊。

　　•定義了風(fēng)險(xiǎn)情景及其概率水平。對(duì)最有可能出現(xiàn)的情況進(jìn)行優(yōu)先排序，以便采取糾正措施。

　　合規(guī)性如何適應(yīng)更廣泛的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理戰(zhàn)略?它是可靠的網(wǎng)絡(luò)安全戰(zhàn)略的推動(dòng)者還是副產(chǎn)品?

　　合規(guī)無疑是堅(jiān)實(shí)的網(wǎng)絡(luò)安全戰(zhàn)略背后的驅(qū)動(dòng)力之一。

　　公司必須不斷質(zhì)疑自己對(duì)安全標(biāo)準(zhǔn)的遵守程度。這種以遵守為基礎(chǔ)的方法將促進(jìn)持續(xù)改進(jìn)進(jìn)程的實(shí)施。成功恢復(fù)的制勝解決方案。

　　你能談?wù)勔恍┯绊懝救绾喂芾砭W(wǎng)絡(luò)安全風(fēng)險(xiǎn)的全球法規(guī)，以及如何在端到端保護(hù)戰(zhàn)略中考慮這些風(fēng)險(xiǎn)嗎?

　　到目前為止，唯一真正產(chǎn)生影響并提高所有領(lǐng)域和規(guī)模企業(yè)意識(shí)的法規(guī)是GDPR，即保護(hù)歐洲公民個(gè)人數(shù)據(jù)的法規(guī)。這項(xiàng)始于2018年的規(guī)定撼動(dòng)了局面。公司被迫知道他們需要保護(hù)哪些數(shù)據(jù)，數(shù)據(jù)存儲(chǔ)在哪里，以及如何保護(hù)數(shù)據(jù)。因此，公司已經(jīng)開始認(rèn)真對(duì)待安全問題，并了解其中的利害關(guān)系。

　　在安全方面，監(jiān)管是提高公司成熟度的好方法。即將出臺(tái)的歐洲法規(guī)NIS2和DORA將產(chǎn)生重大影響。它們將影響很大一部分業(yè)務(wù)，并將在組織、職能和運(yùn)營(yíng)級(jí)別解決端到端信息安全問題。這就是它變得有趣的地方!

　　對(duì)于希望改善網(wǎng)絡(luò)安全風(fēng)險(xiǎn)端到端管理的企業(yè)，你有什么建議?

　　為了提供應(yīng)對(duì)其面臨的挑戰(zhàn)的安全，公司需要?jiǎng)?wù)實(shí)，確保必要和關(guān)鍵的東西，并確定其行動(dòng)的優(yōu)先順序，你不可能保證所有東西的安全。風(fēng)險(xiǎn)分析必須是一個(gè)基本的工具，正是這種方法指導(dǎo)良好的安全做法。購(gòu)買網(wǎng)絡(luò)安全工具而不知道在哪里應(yīng)用這些工具是沒有意義的。

　　•確定你的關(guān)鍵資產(chǎn)。

　　•檢查你的合規(guī)水平。

　　•模擬和分析你的風(fēng)險(xiǎn)。

　　•根據(jù)已確定的風(fēng)險(xiǎn)采取必要措施。

　　•監(jiān)測(cè)與這些措施有關(guān)的行動(dòng)計(jì)劃。