Allianti�������st的(de)(de)創始(shi)人兼首席執行官(guan)Mark Darby探討了ISO 27001的(de)(de)重要(yao)性-這是企業應該努(nu)力達到的(de)(de)網絡安�������全(quan)標準
信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并�����于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:BS7799-1,信息安全管理實施規則BS7799-2,信息安全管理體系規范。第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
當(dang)前(������qian)的(de)(de)網絡安全�������格局是一(yi)種混亂,但(dan)也是一(yi)種認識到需要改變的(de)(de)事物。
這(zhe)在(zai)政(zheng)府推出的(de)計(ji)劃(hua)中(zhong)得到了最好的(de)體現,例如Cyber Essentials。但是(shi),即使這(zhe)一點正在(zai)審(shen)查中(zhong�������),目(mu)前尚不清楚202������0年(nian)初會發生什么(me)-更(geng)多的(de)混(hun)亂!
面對網絡(luo��������)安全危(wei)機,有大量的認證和模(mo)型,企業被(bei)建議甚至被(bei)迫采用。
其中的(de)巔峰(feng)之(zhi)作是(shi)ISO 27001-唯一的(de)信息安全管理系統標準,可以通過(guo)一定程度(du)的(de)權威進行獨立認(ren)證。甚(shen)至NIST網絡安全也(ye)(ye)沒有那個“認(ren)證”,所以這(zhe)也(ye)(ye)是(shi)智慧和更強大的(de)買家推動ISO ����27001的(de)另一個原(yuan)因(yin)
除此(ci)之外,監管(guan)環境(jing)正在趕上最新(xin)�������的(de)數據保護(hu)法案和GDPR。
“無所事(shi)事(shi)不(bu)是一種選擇”
ISMS.online背后的(de)公司Alliantist的(de)創始(shi)人Mark Darby表示(shi),領導者和企業開始(shi)認(ren)識到“無所事事不是一種選擇”,但他們不確定該(gai�������)做什(shen)么,這(zhe)有助于(yu)企業證明(ming)他們信息安全(quan)管(guan)理可(ke)以成(cheng)為值得(de)信賴的(de)。
為什么(me)要改變心意?達比指出,遭受破壞的風險和后果越來�����越大,這(zhe)(zhe)是主(zhu)要原因。而且,由于這(zhe)(zhe)一點(dian)和GDPR這(zhe)(zhe)樣的法規,更大的企業-供應(ying)鏈中的強大企業,可以向供應(ying)商指示他(ta)們做什么(me)-正在尋求(qiu)認可的����認證。
“最簡單的(de)(de)可能是������(shi)(shi)Cyber Essentials,但(dan)這只是(shi)(shi)到(dao)目前為止,”達比(bi)說。“更聰(cong)明的(de)(de)企業希望(wang)看到(dao)物理(li)安全以及網(wang)絡安全和(he)安全產品開發(fa),而不僅(jin)僅(jin)是(shi)(shi)保(bao)護(hu)路由器等,更好,更受(shou)認可的(de)(de)是(shi)(shi)ISO 27001。”
這種接近(jin)安全的新方式仍在不�����(bu)斷涌現(xian),景觀(guan)仍然分散和混亂。
“有人需(xu)要(yao)通過它開辟更(geng)多的楔子,以便讓那(nei)些開始(shi)認識到(dao)他們有意識地無(wu)能(neng)力的企業更(geng)容易(yi),而不是無(wu)意識地無(wu)能(neng),”他������繼續道。
從(cong)無意(yi)識轉變(bian)為有意(yi)識到積(ji)極主動(dong)
承(cheng)���������認網絡安(an)全問題是第一步。然后(h�������ou)是一個主動解(jie)決企(qi)業(ye)安(an)全漏(lou)洞的(de)案例。
擁抱Cyber Essentials是一個良(l����iang)好����(hao)的開端(duan),但正如Darby所暗示(shi)的那樣,這還(huan)不夠。
“希望英國國家網絡安全中心(NCSC)和其他人會做的事情是,他們將開始圍繞公認的標準,如ISO 27001,”他希望。“而不是所有這些企業都試圖將自己的某些東西帶出來,如果努力幫助跨越������關鍵領域的企業,那將會好得多。
“我認為隨著時間(jian)的(de)推移,我們將朝著這個(ge)方向發展(zhan),但(dan)企業可以(yi)自己做的(de)事情(qing)可能就�������(jiu)是開始教育他(ta)們的(de)供(gong)應鏈。”
保護供應鏈
整個供應鏈的失敗是需要(yao)克服的最大(da)安全障礙(ai)之(zhi)一。
現在是企業接受(shou)Darby所謂的(de)“負(fu)責任的(de)客(ke)戶,負(fu)責任的(de)供應商計(ji)劃(hua)”的(de)時候(ho��������u)������了。
“讓我們(men)(men)想(xiang)象一(yi)下,你(ni)(ni)是(shi)一(yi)家大型銀行(xing),你(ni)(ni)有(you)一(yi)個(ge)非常重要的(de)供(gong)(gong)應鏈(lian),而不是(shi)僅僅向供(gong)(gong)應鏈(lian)發送(song)一(yi)份合同,表明你(ni)(ni)將符合ISO 27001,為什么(me)不幫(bang)助他們(men)(men)呢?為什么(me)不讓他們(men)(men)具(ju)備這樣做(zuo)的(de)能(neng)力(li)呢?那么(me)他們(men)(men)實際上是(shi)在(zai)供(gong)(gong)應鏈(lian)中建設能(neng)力(li)和能(neng)力(li),并使(shi)供(gong)(gong)應鏈(li������an)更(geng)具(ju)彈性(xing)?大型企(qi)業可以做(zuo)很多事情(qing)來幫(bang)助規模較(jiao)小,財(cai)富較(jiao)少(shao),經(jing)驗較(jiao)少(shao)的(de)企(qi)業。“
������� 協作是關(guan)鍵。它(ta)(ta)一直(zhi)都是。但是,對于保持最(zui)佳實踐或秘密(mi)工(gong)作方(fang)式(shi)的自然商業反應,它(ta)(ta)一直(zhi)受挫(cuo)。
現在(zai),它采用更(g������eng)智能(neng)的工作方式,采用可(ke)幫助企業在(zai)供應鏈(lian����)中(zhong)上下移動的產(chan)品;找(zhao)出風險,后果(guo)和機會(hui)在(zai)哪里(li),然后看(kan)看(kan)那個基礎是否有(you)人已經解決了這些問題(ti),如(ru)果(guo)是,如(ru)何解決?
成本挑戰
網絡(luo)安全技(ji)能是一(yi)種稀(xi)缺商品。
而且,正因為(wei)如此,專家費用(yong)正在(zai)上升(sheng)-這意味著它使小(xiao)型企業無法承受安全問����題;他(ta)們無法承擔非常重(zhong)要的(de)咨(zi)詢支持(chi)。
為了(le)解決(jue)這個問題,Alliantist問:“我們如���(ru)何編�������(bian)纂稀缺(que)資源(yuan)?我們如(ru)何開始使用自(zi)動(dong)化,機器學習等類似(si)的東西并(bing)將其構建(jian)成產品,“Darby問道。
企(qi)業必須考慮不同的工作方式來鞏固供(gong)應鏈。但是,至關重要的�����是,即(ji)���使他們有錢,資源并不總是存在(zai)。
政府(fu),企業,大學(xue)和其他教育機(ji)構正在開始解決人�������(ren)才短(duan)缺問題并建����(jian)立未來的能力。但是,它目前(qian)還不完全存在。
制定信息安全戰略
與(yu)大多數與(yu)技術相關的(de)計劃一樣,安全性(xing)必須從最高層開�������始;“尤其是(shi)因為(wei)GDPR的(de)威脅和風(feng)險以(yi)及有價(jia)值(zhi)的(de�������)知識產權的(de)丟(diu)失是(shi)一個嚴重的(de)問(wen)題,”達比說。
在(zai)今天的媒體(ti)第一環(huan)境中,違(wei)規丑聞和(he)數(������shu)據濫用(yong)是詛咒(zhou);可能使(shi)企業損失數(shu)百萬或數(shu)十億美(mei)元,具體(ti)取決于其市值。因此,股東(dong)和(he)更廣(guang)泛(fan)的利益相(xiang)關(guan)者將受(shou)到真(zhen)正的關(guan)注。
如果一個(ge)企(qi)業(ye)不(bu)被信任(ren),那(nei)么它就不(bu)會出去(qu)贏(ying)得市(shi)場,也不(bu)會在(zai)戰略上能夠在(zai)它想要的領������������域成長-這是企(qi)業(ye)領導人的關(guan)鍵考慮因素。
Darby談到自(zi)己在商業和戰略方(fang)面的(de)背景(jing)時說:“信(xin)息安全正在影響我的(de)成長能力,所(suo)以我們(men)必須進入并理(li)解這一點,因為(wei)我們(men)是一家(jia)提供軟件服務的(de)技術公司,為(wei)我���������們(men)提供有價(jia)值的(de)數據(ju)。顧(gu)客。
“任何代(dai)表另一個企業(ye)的(de)數據處理器的(de)人都(dou)需(x�������u)要證(zheng)明他們(men)可以信任,這(zhe)是一個板級挑戰(zhan)。因此,如果你在一家大型銀(yin)行或者你是一個小企業(ye),這(zhe)是一個重(zhong)大的(de)增長挑戰(zhan)。“
領導(dao)網絡安全費用
在大企業中,首席執行官或董(dong)事會(hui)不太可能領導網絡(luo)安(an)全。
然而,鑒于該�������主(zhu)題的重要性,這(zhe)一責(ze)任將落在首席信息(xi)官(guan),首席技術官(guan)或首席信息(xi)安(an)全官(guan)的肩上-具有這(zhe)種能力的人(ren)。
“在整個(ge)(ge)供應鏈(lian)中加(jia)入企(qi)業的戰略層(ceng)面,它���影響(xiang)到每個(ge)(ge)員工和每個(ge)(ge)供應商,高級管理層(ceng)應該處理這個(ge)(ge)問題,”達比說。
“在(zai)大型(xing)企業(ye)中(zhong),您通常會遇到(dao)DPO,CISO,CTO,CIO或高級別(bie)人(ren)士,”他繼續說道。“但是,在(zai)中(zhong)小型(xing)企業(ye)������中(zhong),你(ni)正(zheng)��������在(zai)談論(lun)所(suo)有者(zhe)級別(bie),創始人(ren)級別(bie)。
“這是(s�������hi)一個棘手的挑戰,你不能委托給最初級(ji)的人;它需要這種級(ji)別的領導和(he)參(can)與。
“即使使用像我們這(zhe�������)(zhe)樣的工具來解決這(zhe)(zhe)個(ge)問(wen)(wen)題(ti)(ti)并不(bu)是一個(ge)昂貴的問(wen)(wen)題(ti)(ti),但如果出(chu)現(xian)問(wen)(wen)題(ti)(ti)或者沒有它就(jiu)無法贏得這(zhe)(zhe�����)項新業務(wu),這(zhe)(zhe)是一個(ge)非常昂貴的問(wen)(wen)題(ti)(ti)。”
ISMS.online背后(hou)的(������de)(de)(de)公(gong)司(si)Alliantist是Tech Nation Cyber的(de)(de)(de)一部分(fen)-這是英國首個針對網絡安全領域的(de)(de)(de)全國性擴展計劃(hua)。它的(de)(de)(de)目標���是雄心(xin)勃勃的(de)(de)(de)科技公(gong)司(si)為增長做好準備。
0
賬號登錄