为了找到答案,NetGain Systems与CTRL Group的首席运营官坎贝尔·杜拉德进行了交谈。CTRL Group是一家澳大利亚信息与网络安全公司,为澳大利亚、新西兰和新加坡的客户提供一系列网络安全服务。包括对澳交所一些最大的上市公司和澳大利亚政府部门的安全风险评估。杜拉德与我们分享了他们遇到的一些常见的网络安全问题,以及企业可以做些什么来避免它们。
行动太慢
说到网络安全,很多企业倾向于被动反应,只在事情发生后才采取行动。Dullard说,“这就像直到你摔断了一条腿后才想起要购买一份健康保险,”到那时就太晚了,因为伤害已经造成了。
很显然,企业面临的挑战是决定采取哪种类型的“保险”。许多不同的网络威胁比比皆是,新的威胁也不断出现,有限的预算只会让这些决定变得更加困难。稍后我们将讨论如何做出明智的决定,但就目前而言,虽然承认处理所有可能的威胁是不现实的,但有一些保护总是比没有保护好,这也是很明显的。
假设这是它的责任
网络威胁是对IT系统的威胁,而网络安全就是保护IT系统免受此类威胁。当IT在整个企业中广泛使用以支持、启用并推动组织的各个方面时,网络威胁引起的问题不仅影响IT系统,而且可能潜在地影响整个企业和业务。
对IT应用程序的中断可能只会导致对整个依赖于该IT应用程序的业务领域的中断。并且远远超出受影响的领域,IT系统某个领域的安全漏洞可能会产生广泛的影响,影响的不仅是企业,还有它的业务合作伙伴和客户。
“杜拉德说,当一家企业没有将IT系统做任何防备措施时,要将网络安全视为一个IT问题,并在其预算范围内加以管理。”保证企业的系统网络安全是做为技术的重要责任之一,试想如果企业系统遭到黑客攻击及机密信息被盗,或者导致网络系统瘫痪并且无法顺利开展业务,那么这将会对整个企业产生巨大的影响。
随着我们对IT的日益依赖,网络安全势必做为一个商业问题并加以管理和重视。当你选择这样做的时候,“你将为企业未来的网络安全加上了一道安全防护屏障,”Dullard说。
没有坚持到底
许多企业虽然意识到网络安全的重要性,并经常制定网络安全发展规划,以实现某种级别的安全。然而,当计划无法执行时,问题就出现了。或者就像Dullard所说的,“有时候计划是基于正向的意图而制定的,但是随着时间的推移,难免会遇到意想不到的突发情况,导致企业并不能遵循之前制定和批准的计划。”
我们能做什么
据杜拉德说,企业能做的最重要的事情就是意识到自己的弱点。“每家公司都有自身的短板,”他说,“了解到自己的弱点是什么,这很重要。”
为了做到这一点,他建议企业做以下几件事:
1. 监控其IT系统并记录其安全信息
2. 参与定期渗透测试
3. 对公司业务系统进行风险评估
通过了解他们的漏洞和潜在风险,企业可以对网络安全领域做出正确的决定。“在了解自己的弱点后并加以保护,才不会在遇到风险时被攻击。”
这就引出了杜拉德建议企业做的下一件事:
制定一个事故应对计划,并确保经常演练。
这样的计划将有助于减轻安全漏洞造成的任何损害,并让该企业在遭受网络攻击后尽快恢复“正常业务”。通过定期实践它,您不仅可以确保员工知道在发生安全事件时该怎么做,而且还有机会根据业务中的变化来改进和调整计划。
当然,提前制订应对安全漏洞事件响应的计划,是很好的,但我们仍需克服没有把计划看清楚的危险。在这里,杜拉德建议,一旦网络安全计划就位,你应该指定专人负责该计划。例如,那些负责跟踪不同方面计划的技术负责人需确保每3到6个月举行一次定期会议。同样的原则也适用于其他商业领域,通过定期的会议来跟踪和改进它们,” 杜拉德说。
换句话说,网络安全计划应与任何其他商业计划或战略一视同仁,其执行也应与任何其他业务领域相同。当我们开始重视并逐步执行时,网络安全将不再总是IT需要解决的问题,而是像其他业务领域一样进行跟踪和管理。
—————————————————————————————————————————
CTRL Group与NetGain Systems合作,从研发到整个产品开发生命周期,确保其解决方案的安全性。
