Compliance不等于安全

技术 & 网络安全

网络安全是美国所有行业日益增长的风险因素.S. 在世界范围内. 网络攻击在全球所有市场领域的复杂性和影响程度都在不断增加. 根据美国农业部最近发布的一份报告.S. 根据美国证券交易委员会(SEC)的数据,网络数据泄露的平均成本为7美元.500万美元,而且价值每年都在持续增长.

虽然所有组织都是 网络攻击的潜在目标,拥有最多的行业 有价值的数据是最大的目标,包括:金融服务、 医疗、联邦/州/地方政府机构、政府承包商、 汽车制造业和零售业. 所有组织都拥有宝贵的 信息资产,这可能包括:知识产权,金融支付 信息,客户信息,供应链合作伙伴信息,个人信息 可识别信息(PII)、受保护的健康信息(PHI)和/或 支付卡信息(PCI)只是举几个例子.

这对任何组织都是至关重要的 领导确保他们充分理解信息的价值 他们拥有的资产,以及网络威胁和漏洞的程度 万博平台app下载面临. 此外,每个组织的领导层都必须了解他们的 重大数据泄露的真实概率,以确定 万博平台app下载网络安全准备或缺乏的潜在财务影响 其中.

今天的现实是很多 万博平台app下载过于依赖于仅仅进行网络安全合规 清单评估,通常使用一些通用的网络安全标准, 或基于行业的网络安全风险评估框架.e. ISO 27001 (跨国组织),NYDFS(纽约金融服务),AICPA-SOC (会计服务),PCI(零售-支付卡行业),HIPAA(医疗保健) 服务)或NIST(政府/国防/关键基础设施). 虽然这些 网络安全合规评估是评估当前的好工具 网络安全政策、计划和程序的现状与. 行业标准 为了确定差距-他们本身不足以确保真正的 网络安全.

我们想强调一下 组织可以在网络数据泄露之前采取适当的行动 在网络数据泄露后减轻潜在的负面影响 优化业务绩效结果. 所有万博平台app下载都必须 根据各自情况采取以下适当的网络安全行动 信息系统的行业、规模和复杂程度,包括:

违规前(主动网络安全行动):

  • 参与 具有广泛网络安全测试能力的外部咨询万博平台app下载 执行以下关键的网络诊断操作:
    • 进行电子邮件网络威胁评估
    • 进行网络威胁评估
    • 执行内部和外部漏洞 企业网络评估
    • 执行渗透测试服务; 包括:基于社交媒体分析的鱼叉式网络钓鱼和欺骗活动
  • 行为 一个网络责任保险政策覆盖充分性评估发现 哪些包括在内,哪些不包括在内,了解费用是多少 网络安全补救措施vs. 网络保险费的成本
  • 提供 为所有员工提供网络安全意识培训计划,培养真正的网络安全意识 文化
  • 行为 适当的网络风险合规性评估,以评估所有 组织的关键信息安全政策、计划和程序; 并将它们与相应的行业标准进行比较. 然后找出两者之间的差距 组织当前的网络安全文件状态与. 的 行业规定的监管要求. 然后制定一个优先级 网络安全行动计划,以弥补政策中的任何缺陷; 计划和程序. 主要的资讯保安计划包括:
    • 系统安全计划(SSP)
    • 身份和访问管理计划(IAM)      
    • 事件响应(IR)计划
    • 业务连续性计划(BCP)
    • 容灾计划
    • 第三方/供应商管理计划
  • 收集 网络威胁情报服务,包括:
    • 为万博平台app下载进行暗网分析, 关键人员和选定的合作伙伴
    • 进行社会媒体分析 万博平台app下载及主要人员
  • 执行 适当的电子邮件、网络和端点监视、检测和响应 (MDR)为内部信息技术部门团队提供服务 成员,安全运营中心(SOC)服务,安全事件 & 事件管理(SIEM)服务、端点管理服务和事件响应 服务,或者以上的一些组合.

所有 采取的网络安全行动应侧重于识别潜在的负面影响 或破坏性信息,这可能导致网络漏洞,包括: 赎金、恶意软件、勒索软件、鱼叉式网络钓鱼、欺骗和其他攻击模式.

在网络数据泄露(被动网络安全)之后 操作)

取 在必要和适当的情况下采取网络安全补救措施:

  • 行为 事件响应是必要的,以控制,减轻进一步的损害,并消除 恶意软件
  • 调查 网络攻击和数据泄露的来源
  • 取代 损坏的硬件和软件是必需的
  • 扫描 整个病毒网络
  • 准备 根据需要进行网络保险索赔
  • 雇佣一名网络安全人员 万博平台app下载进行违规后调查
  • 评估 对数据泄露的事件响应,以确定需要改进的地方
  • 增强 IT技术操作和人员配置
  • 提供 根据需要对员工进行网络安全教育和培训
  • 参与 或替换托管安全服务提供商(MSSP)来提供托管的 监控检测 & 事件响应服务—24x7x365
  • 评估 第三方供应商网络风险
  • 行为 定期脆弱性评估
  • 执行 渗透测试
  • 确保 及时管理软件补丁程序
  • 开发 一个带加密的多层网络防御程序
  • 实现 多因素身份验证
  • 开发 事件应变计划
  • 行为 事故应变演习
  • 确保 业务连续性计划
  • 实践 灾难恢复计划

SUMMARY

的风险 大规模的网络泄露对万博平台app下载声誉和市场产生负面影响 价值不断增加. 因此,每个组织都需要充分理解 他们所拥有的信息资产的价值,网络安全相关的风险, 然后将收益和风险变量分别考虑在内 业务方程. 一旦采取了上述所有行动,然后通知 业务决策可以由组织的高级管理人员做出 领导团队减轻网络入侵的潜在负面影响,以及 违约后的后果.

我们相信 同时在网络邮件和网络威胁上花费数千美元 评估、漏洞评估、渗透测试和威胁 情报部门可以提供更有价值的整体和全面的信息 了解组织的网络安全水平 姿势与. 简单地对政策进行网络风险清单评估, 只有计划和程序. 而合规则是各种合规 框架标准是好的,但它是不够的,它也不能保证真实 信息安全.

如果你的 组织没有完全了解你们当前的网络安全和合规性 请明视咨询万博平台app下载进行网络风险评估. 我们的 标准评估包括:

  • A 详细的网络合规记分卡
  • 识别 现行保障措施的优势和不足
  • 比较 你的网络安全得分高于你所在行业的同行
  • A 基于指标、以威胁为中心的方法可识别您的网络风险和等级 它们的严重性和影响,为行动和智慧创造了基础 投资.
  • 建立了 通过网络风险登记册进行决策的防御性立场

联系Todd Jennings: tjennings@cviewllc.以获取更多信息或为您的业务安排网络风险评估.

分享这篇文章
阅读更多: 技术 & 网络安全

更多的 技术 & 网络安全

相关个案研究

友情链接: 1 2 3 4 5 6 7 8 9 10