管理和监控网络风险:利用三道防线
有两种类型的万博平台app下载:那些被黑客攻击的万博平台app下载和那些不知道自己被黑客攻击的万博平台app下载. 网络威胁不断演变,“坏人”变得越来越老练. 由于武装组织抵御网络威胁所需的巨大成本和技术专长, 许多中小型市场组织在建立有效的人员组合方面落后了, 流程, 以及减轻和管理网络风险的技术. 据估计,目前全球网络威胁造成的损失约为5000亿美元, 《万博平台app下载》最近的一篇文章指出,到2019年,网络犯罪造成的损失将达到2万亿美元.
网络攻击始于20世纪80年代末,并在整个90年代开始加速发展. 在2000年代中期, 这是TJX首次高调攻击客户信用卡信息, TJ Maxx的老板, 向公众介绍网络安全的话题. In 2013, Target Stores were breached via one of their third party vendors; this highlighted the challenges with a fragmented network perimeter and the importance of tightly integrated security tools and supporting 流程.
攻击继续变得越来越复杂, 各组织采取的应对措施包括接受潜在泄露的可能性, 实施旨在有效降低网络攻击损害风险的全面举措. 虽然最初的组织反应往往是向公众隐瞒违规行为, 有效的管理, 对违规行为进行分类并与受影响方沟通,对于最大限度地降低声誉风险变得越来越重要.
政府的干预迫使许多行业面临这个问题, 包括在金融(消费者数据安全和通知法案)和医疗保健(HIPAA)等行业中增加对IT安全的监管。. 由于政府审查的加强, 高度监管的行业和积极主动的大型公共组织通常能够更好地认识到网络风险,并实施应对这一风险的策略.
成功降低网络威胁风险的万博平台app下载已经建立了三道防线. The key to successfully implementing this approach is creating an effective governance structure; continuous communication and training for each stakeholder group on their role in managing cyber risk; and monitoring and validating the 流程 and technologies being leveraged to mitigate cyber risk.
跨3条线的涉众,并建立有效的治理结构
对某些人来说,每个人都是一个有趣的目标. 虽然这三条独立的防线可能会因规模较小的万博平台app下载而变得模糊, 安全是每个人的责任. 大型上市万博平台app下载习惯于明确的风险矩阵和控制活动. 为了管理风险,这些方法也可以用于中小型市场组织. 大万博平台app下载也比中小型万博平台app下载更有可能在黑客事件中幸存下来. 尽管塔吉特已经从2013年数据泄露造成的财务损失中基本恢复过来, 谷歌搜索相关事件也提到了Fazio机械服务万博平台app下载, 给了塔吉特黑客机会的第三方供应商. 很难想象,自2013年以来,Fazio的销售额一路飙升. 因为没有万博平台app下载能免受网络威胁, 无论大小实体都必须积极评估其安全状况. 无论万博平台app下载规模大小, 建立正确的治理结构并应用适当的框架是评估万博平台app下载安全状况的关键. 网络风险管理影响到组织的每一位员工、董事会成员和承包商. 每个利益相关者都有责任确保他们了解保护万博平台app下载资产和关键数据所需的内容. 万博平台app下载有责任制定网络风险管理计划,以确保所有利益相关者了解情况并履行其网络安全责任. 成功的网络风险管理项目通常可以分为三道防线. 第一道防线通常是万博平台app下载的IT安全和运营团队. 第二道防线是万博平台app下载的监督职能,通常包括IT安全指导委员会或其他跨职能管理团队. 第三道防线通常是万博平台app下载的内部审计或合规职能, 由谁来评估一线和二线活动的有效性.
传统上,一线人员的战术分析和网络缓解技术由安全运营中心(SOC)和/或IT运营管理部门管理. 这些第一线防御者监视事件,并拥有安全体系结构的管理和监督. 该小组对组织的网络安全态势负有主要责任. 管理层和负责任的用户通过执行控制活动来降低风险, 向高级管理层报告问题, 并努力弥补已发现的缺陷. 这可能包括监视网络流量, 将事件分类为组织事件响应计划的一部分, 管理防火墙, 数据加密, 以及入侵检测和防御解决方案.
网络风险防御的第二道防线由合规或风险管理部门组成,他们在IT安全指导委员会中扮演着关键角色. IT安全指导委员会很重要,因为它应该包括关键的业务领导,并允许在企业范围内讨论网络安全风险及其对组织的潜在影响. 风险管理职能的职责包括实施IT风险政策和程序,并提供可接受的风险管理框架(i.e. 2014年美国国家标准与技术研究院(NIST)网络安全框架)来指导和教育运营经理. 风险管理还监控IT控制的合规性,并通过仪表板报告(i)向高级管理层提供分析结果.e. NIST网络安全框架的当前层).
内部审计和合规职能通过测试管理层网络安全流程和控制的有效性,提供第三道防线, 以及, 验证符合NIST网络安全框架. 这些功能通过使用多种方法的组合,为业务管理提供了有关组织网络安全状况的有价值的见解. 这些方法包括但不限于面向过程的评审(例如.e. 对当前NIST网络安全层的回顾),详细的安全分析(i.e. 对网络事件进行独立评估,以确保第一道防线有效), 必要时定期进行合规审计.e. HIPAA, PCI),漏洞和渗透测试. 必须指出的是,内部审计和评估被视为第三道防线,不应将其视为有效的风险缓解技术.
去年Clearview的角度来看
我们认为,基于日益复杂和动态的技术环境和网络威胁形势, 事情在好转之前会变得更糟. 自动化的活动和产品越多(例如.e. 物联网计划), 减轻和管理网络威胁的风险就越具有挑战性.
在去年Clearview, 我们的团队已经建立了一个专有流程,以帮助各种规模和行业的万博平台app下载根据NIST网络安全框架评估其安全状况. 作为这些评估的结果, 我们通过实际地利用3道防线框架,帮助许多组织增强了他们的安全环境. 由于资源限制,中小型市场万博平台app下载可能会在角色之间模糊一些界限,因此我们确保帮助他们实施切实可行的政策, 提高姿态的过程和技术. 在具有更成熟的安全环境的大型组织中, 我们在这三个方面都提供了专业知识:
- 1st 建立安全培训计划以提高安全意识, 执行模拟的网络钓鱼和社会工程攻击以促进学习, 在同类技术中实现最佳的安全性,并提供主题专业知识IT安全性指导和支持
- 2nd 线-建立或管理IT合规或IT风险管理功能
- 3rd Line -管理IT安全评估,包括对网络威胁的实时分析和执行IT合规审计
《万博平台app下载》的链接: