顾问说,在风险管理中心保留人们
John Unsworth表示,在安全咨询公司Revak,John Unsworth表示,信息安全不是新的企业主的头脑。
“他们正在考虑销售产品和服务,因此我们经常发现没有人们对更广泛的商业风险的信息安全或合规性,”他告诉柏林库平宫网络安全领导峰会。
然而,Unsworth表示,经验表明,追溯工作更难以实现这一完成,而不是在首先实现它,以便它成为通常的业务的一部分。
从信息安全专业人员的角度来看,任何公司的目标都应该是保护业务,员工及其客户免受各种威胁,同时通过拥有可用技术来实现业务,有效地运作。
“挑战很宽,但它没有什么新鲜事,”不斯华斯说。“它是关于确保数据保护,防止和管理数据泄露和其他网络攻击,并平衡与人类行为的技术控制。
“在20多年的政策中工作,刑事威胁并没有改变,只是他们可能发生变化的缓和,特别是在涉及网络犯罪时也是如此。”
Unsworth表示,在商业环境中应用警察情报工作的解决方法,表示他建议组织开始识别对本组织的具体威胁。“它必须具体对你 - 否则范围太广泛而且你太过分了,”他说。
“接下来,评估您组织对这些威胁的漏洞,然后对这些威胁进行事项来管理对组织的风险,并且终于诚实地跟踪您的活动,看看您的行为有多有效,大多数人都不喜欢这样做,但它是在必要时学习和改进很重要。“
作为这一过程的一部分,渴望表示企业需要了解网络攻击的规模和威胁。“统计数据有助于将这一点提出,包括英国报告的所有犯罪约50%的事实是网络相关的,而10英国人每年则受到网络犯罪的影响,”他说。
“更重要的是,英国的66%的大型组织和45%的小企业在2017年在安全泄露。这些是实际的违规,网络攻击成功贯穿,但真正的P可能更高,因为并非所有企业都愿意报告违规行为,而不是所有组织何时被违反。“
威胁是真实的,攻击正在发生规模,但是渴望说明很重要的是要注意,绝大多数违规行为都没有使用最复杂的攻击来实现。
事实上,大多数违规行为都可以追溯到利用糟糕的内部流程或遵守过程差的攻击者。
“最大的数据保护问题是人们丢失笔记本电脑和USB棒的东西,因为公司政策要求最佳实践,但没有人知道它或符合它,因为它从未达到所有员工。”
Unsworth建议组织在底部开始,他们通过实施公司文化来控制的东西,其中信息安全在目标列表中获得高度。
“成功的方式是不尝试并立即尝试一切,但是通过旨在推出丢失笔记本电脑,失去USB棒,丢失USB棒,丢失USB棒,丢失USB棒的行为来解决小块中的所有问题,以解决所有问题,以解决所有问题。给错误的人发送电子邮件并将个人信息披露给第三方,“他说。
Unsworth推荐了一个综合和安全计划的渐进方法,从评估当前的安全姿势和识别关键漏洞,使用像英国政府支持的10个步骤到网络安全指导。
“并非每家公司都必须遵守每一个法规,所以看看适用于你的东西,然后看看安全性,看看它们如何互相帮助,因为他们必须并行和协同协同工作,”他说。
“问一系列简单的问题,例如是否有员工培训,每一个”否“答案是一个差距。答案是'是'的地方,只需检查它是否足够好以满足需求。没有必要使这种更困难或复杂。“
下一阶段是开展员工教育的优先考虑漏洞,然后看标准,从英国的网络要素计划开始。
“Cyber Essentials对大多数组织来说都足够好,但其他人可能需要更详细的东西,例如互联网安全基准或ISO 27001标准的中心,但如果网络要点足够好,请坚持下来并做得好,而不是做不到的东西,“他说。
也就是说,怀特沃思强调,组织不应该忘记或忽视欧盟一般数据保护条例(GDPR)和反融资犯罪管制的要求,在此处提供适用。
“当您查看漏洞时,它是设备,人员和实践,因此通过解释评估漏洞的目标,从事漏洞的目标,从事工作的目标是重要的,从而从事工作实际上实际上是什么被关注,“他说。
“激发集体责任。向人们提出他们对如何改进的看法,并将其放在老板上。向他们展示需要解决的事实以及如何。“
渴望将“为什么”传达给所有相关人员沟通,渴望宣传,并保持焦点对营造业务活动。
“解决问题 - 解决和优先级,”他说。“你不能立刻做一切,记住,它是关于人们,做得很好。”
渴望难以使威胁与风险混淆是很重要的。“没有脆弱性的威胁不是风险,”他指出。“但他们同样重要,如果你有两者,那么你有一个风险,需要在潜在的影响方面进行行动。”
不同的企业将有不同的优先事项,取决于业务的性质,渴望。有些人将受到保护客户的动机,而其他人则将是业务中断的成本,预防声誉损害或避免财务损失。
“您必须找到将有助于推动更改的因素,专注于,然后跟踪您的活动,审查它们并报告结果,以评估您是否有任何差异并确定有什么工作以及需要改进的内容以及需要改进的内容以及需要改进的内容以及需要改进的内容,“ 他说。
“并记住,仅仅因为组织符合要求并不意味着它是安全的。这是关于持续改进。它总是正在进行的。“
