网络安全是指通过部署人员、政策、流程和技术,保护企业机构及其关键系统和敏感信息免受数字攻击的一系列实践。
网络安全是指通过部署人员、政策、流程和技术,保护企业机构及其关键系统和敏感信息免受数字攻击的一系列实践。
作为一项业务问题,网络安全一直是董事会的重要议题,但目前,其职责仍主要由IT领导者承担。
在Gartner 2022年董事会调研中,88%的董事会成员将网络安全视为业务风险,只有12%的人称其为技术风险。然而2021年的一项调研显示,在85%的企业中,网络安全的工作职责仍由首席信息官(CIO)、首席信息安全官(CISO)或类似职位的人员承担。
当前,针对信息和关键基础设施的攻击更加复杂,且数字信息和技术已大量融入到人们的日常工作中,企业机构因此更易受到网络威胁。
而网络风险事件的发生可能会对企业机构的运营、财务、声誉和战略产生影响,需要企业机构付出巨大的代价。因此在现有措施效力降低的背景下,大多数企业机构都需要提高其网络安全性。
最常见的网络安全攻击类型包括:
网络攻击者部署DDoS攻击的方法是:使用多个不同位置的设备向企业系统重复发送请求。虽然该类型的网络攻击能够让目标机器停止提供服务,但其一般而言是为了造成破坏,而不是完全中断服务。
如今,每天都会发生成百上千的DDoS攻击,但大多数攻击在普通的业务过程中都能得以解除,并没有获得特别的关注。但是,随着网络攻击者的攻击范围越来越大,DDoS攻击的复杂性、数量和频率也持续上升,即使是小型企业,其网络安全也面临了越来越大的威胁。
DDos针对应用程序的攻击也越来越直接。因此,要想低成本高效益地成功防御这种类型的威胁,所采取的方法需要照顾到各个层面:
缓解DDoS攻击所需的防御技能与其他类型的网络攻击所需的防御技能并不相同,因此大多数企业机构都需要通过第三方解决方案来增强其网络安全能力。
一系列IT和信息系统控制措施构成了防止网络攻击的技术防线。具体包括:
技术控制措施并不是防止网络攻击的唯一方式。为了加强网络防御,一流的企业机构会严格检查其网络风险和相关职能部门的成熟度,如提高员工安全意识和培养员工养成安全行为习惯。
简单地说,导致网络安全防御无效的原因是缺乏足够的控制措施。但没有任何一个企业机构是100%安全的。企业机构无法控制威胁或不良行为,他们只能控制安全就绪工作的优先次序和相关投资。
为了决定在何处、何时以及如何对IT控制和网络防御措施进行投资,您需要对贵企业机构员工、流程和技术的安全能力进行基准评估,并确定能力差距和投资重点。
值得注意的是,人为因素在网络安全风险中占很大比重。现在的网络犯罪分子已经成为社会工程专家,可以使用极其复杂的技术来欺骗员工点击恶意链接。因此,确保员工掌握相关的技术常识,才能更好地抵御这些攻击。
当前,网络环境的主要演变趋势如下:
网络威胁和相关技术的发展十分迅速,且网络安全问题与许多其他形式的企业风险息息相关。在这个背景下,多个利益相关方必须进行合作,确保达到一定级别的安全水平,并共同防范盲点。但是,尽管已经有越来越多的人认为网络安全问题是一种业务风险,但其相关的职责仍然主要由IT领导者肩负。
2021年Gartner的一项调研发现,在85%的企业机构中,网络安全的工作职责仍由CIO、CISO或类似职位的人员承担。只有10%的企业机构,其网络安全职责由非IT部门的高级管理人员承担,且只有12%的董事会专门设立了董事会级别的网络安全委员会。
为了确保网络的安全性,CIO应该与其董事会合作,确保所有做出影响企业安全业务决策的利益相关方都能分担责任、共同治理。
当下大多数的网络安全指标追踪的都是企业机构没有控制的因素,例如,“我们上周被攻击的次数是多少?”。因此,指标重点应与具体的成果挂钩,利用这些成果来证明您网络安全项目的可信性和防御性。
Gartner预计,到2024年,在监管机构判处的网络安全漏洞罚款中,80%的罚款是因为企业机构不能证明其履行了应有的注意义务,与漏洞产生的影响无关。
Gartner建议成果驱动型指标(ODM)采用“CARE”模式:
一致性 | 一致性指标可评估控制措施在企业机构内的长期持续性。 |
充分性 | 充分性指标可评估控制措施是否符合业务需求,是否令人满意并被人们接受。 |
合理性 | 合理性指标可评估控制措施是否恰当、正确、公平和公正。 |
有效性 | 有效性指标可评估控制措施是否能成功和/或有效地实现预期的成果。 |
贵企业机构或其他企业机构的费用多少并不能反映或决定贵企业机构的网络安全保护水平。
用金钱衡量网络风险和安全的就绪程度(即“该风险价值500万美元还是5000万美元?”)既不可靠也不合理。即使这种方式可靠,它们也不能作为决定安全优先事项和相关投资等日常决策的基础。
然而,成果驱动型指标可以更高效地管理网络安全优先事项和相关投资。它不会根据威胁的类型来衡量、报告或影响安全投资;其调整支出以应对勒索软件、攻击或黑客的行为是您无法控制的。但是,ODM会使安全投资与应对这些威胁的控制措施保持一致。
例如,虽然企业机构不能控制是否遭受勒索软件攻击,但它可以将安全投资与三个关键控制措施保持一致,即备份和恢复业务连续性及网络钓鱼培训。针对这三种控制措施的ODM反映了企业机构预防勒索软件的防御程度以及这种保护级别的相应成本——这种业务性质的分析更容易获得董事会和其他高级领导者的支持。
请注意,控制措施能够为贵企业机构提供适当的安全保护,可以是您拥有、管理和部署的人员、流程及技术的任何组合。因此,您可以采取成本优化方法,评估每个控制措施的成本(投资)、价值(收益)和风险管理水平。一般来说,保护级别越高,风险越低,费用越昂贵。
Join your peers for the unveiling of the latest insights at Gartner conferences.