新年伊始是反思过去12个月并制定2022年改进计划的好时机。与过去几年一样,2021年的网络安全行业显示出更多相同的情况–更多的漏洞,更大的勒索软件攻击,更高的风险。一些最具破坏性的网络攻击就发生在这一年,包括JBS食品公司、Kaseya和Colonial管道公司。这些攻击受到了全球的关注,并凸显出对网络安全最佳实践的更多关注的需求。
为了帮助全球的CEO们更好地了解网络风险以及如何使他们的企业更加安全,ISC2对200名网络安全从业人员进行了在线调查(角色包括从网络安全领导层到网络安全团队成员),并向他们提出了一个简单的问题:您觉得每一位首席执行官需要知道什么,能使他们的企业下一年更加安全?在分析了这些答复后,以下是每一位首席执行官在进入2022年时应该知道的五项建议。
明白网络安全将挑战您的底线
在我们日益数字化的世界中,网络安全对于确保业务连续性和保护客户数据及隐私至关重要。然而,大多数网络安全专家坚定地认为,网络安全并没有得到一个足够高的业务优先级。一位担任网络安全管理职务的受访者说,”安全需要被纳入业务的核心。而不仅仅是作为事后考虑的事情。” 另一位受访者说:”首席执行官们需要知道,安全不是一个IT问题或技术问题,而是一个影响公司所有方面的业务问题”。
一位受访者鼓励将网络安全作为一种竞争优势,将其作为一种销售工具。另一位受访者也有类似的观点,他建议首席执行官 “将安全设计到产品、服务或流程中,并施行安全左移,为你的公司和客户提供一个更有弹性的、更好的结果。” 除了作为一个差异化因素,网络安全必须成为数字化转型战略的核心,因为如果先进技术容易受到攻击或泄漏数据,那么对这些技术的投资就会被淘汰。
当网络安全成为一个关键的商业目标时,企业就会建立客户信任,加强品牌声誉,并从长远来看节省资金,因为2021年数据泄露的平均成本已经上升到424万美元。一位受访者说,”安全不仅是一项业务支出,而且是一项业务需求,[必须]得到适当的资金,以抵御勒索软件和复杂的威胁”。 一旦网络攻击成功,有准备的组织可以更快地检测和补救,并将损失降到最低。
让每个人都对网络安全负责
一个贯穿始终的共同主题是,每个人都对其组织的网络安全负责。网络钓鱼仍然是网络攻击者最常见的攻击方式之一,业界一致认为,网络安全意识培训永远都不够。事实上,有12%的受访者提到了网络安全培训或意识培训。所有组织都容易受到网络攻击,”即使是小组织也容易受到攻击和勒索,所以强调安全是每个人的责任是至关重要的,”一位受访者说。
经常性的网络安全培训是确保员工将网络安全放在首位的最佳方式,而且这是一个经济有效的解决方案,其投资回报率令人印象深刻。一位担任网络安全领导职务的受访者指出,”[简单的]改变可以对[组织的安全态势]产生重大影响。诸如MFA、安全意识培训和具有问责制的漏洞管理等项目在巩固防御方面有很大的作用”。
受访者警告说,首席执行官们不能忽视意识培训的重要性。简单地说,一位担任网络安全管理职位的受访者说,”在当今世界,要保证公司的安全,需要安全意识和内部威胁计划”。
为您的安全团队配备人员,给予他们好的薪资
虽然拥有适当的网络安全工具是非常重要的,但如果网络安全团队没有经过充分的培训来使用这些工具,或者没有适当的人员来管理安全计划,那么这些工具就毫无用处。一位受访者建议首席执行官 “雇用经过认证或其他合格的网络安全人员,给他们适当的报酬,并提供必要的资源和授权来评估、识别和补救漏洞”。
网络安全是一项商业投资。一位受访者说:”无论是在[内部]团队还是第三方承包商,都需要对信息安全进行更大的投资。安全是一种投资,职位空缺和目前的薪资之间存在着一种关联。投资于培训、工资和增长机会”。
根据您的组织的规模和它所处的行业,一个专门的网络安全人员可能是不够的。一位受访者指出,首席执行官应该知道 “如何雇用和[适当培训]你的组织内部所需职位的人”。 首席执行官和招聘经理应与安全团队负责人合作,以确定其人员配置需求。目前缺少272万名网络安全专业人员,只追求网络安全 “全明星 “并不是一个可行的策略。
网络安全领导者越来越多地雇用职业转换者,寻求对网络安全职业成功至关重要的基础性非技术技能,如分析性思维、好奇心和解决问题的能力。无论技能水平如何,所有员工都应该有机会获得专业发展机会,并接受组织对网络安全工具的培训,以有效地执行任务。
给予网络安全专业人员良好的报酬也很重要。无论什么职业,当员工得到培训、支持和有竞争力的薪酬时,他们会反馈工作满意度更高,并留在公司。网络安全就业市场非常激烈,近一半的专业人士反馈,他们每周都有招聘人员与他们接触。
准备好应对勒索软件
根据2021年Verizon数据泄露调查报告,今年勒索软件攻击的频率增加了一倍,联邦调查局报告勒索软件投诉同比增加了62%。近年来,勒索软件有了新的形式,供应链攻击、双重勒索和勒索软件作为一种服务在网络攻击者中越来越受欢迎。勒索软件是网络安全行业最关注的问题之一,有10%的受访者提到勒索软件。
勒索软件是不可避免的,正如一位受访者所说,”勒索软件不会只发生在别人身上”。 为了取得成功,企业必须有一个经常测试的勒索软件响应计划,并每年进行风险评估。一位担任网络安全管理职务的受访者说:”[首席执行官]必须承担起个人所有权和责任,在你的组织中针对网络钓鱼和勒索软件制定有效的、经过测试的教育和补救计划。” 另一位担任类似职务的受访者强调,首席执行官需要确保他们自己掌握网络基础知识以挫败勒索软件。
除了制定计划和做好网络基础工作外,一位受访者强调了通过实施先进的威胁检测技术和配备网络安全团队来加强防御的重要性。
投资于技术以实现远程工作(因为它不会消失)
启用远程和混合工作是最重要的投票主题之一,占了13%的答复。全球新冠疫情继续改变着我们的世界,特别是我们的工作方式。一位受访者建议,”每一位首席执行官都应该了解与因COVID-19而在家工作概念相关的风险”。
虽然存在网络风险,但远程和混合工作将继续存在,因为许多可以在办公室之外执行工作的专业人士将其视为一项重要的福利。一位受访者说,”员工对更灵活和远程工作的推动是不会消失的,特别是因为生产力没有下降。[首席执行官们必须]继续投资于能够实现员工灵活性的技术”。
民意调查的受访者提出了关于保障远程员工安全的各种观点,敦促首席执行官投资于资产管理,实施零信任,在不影响安全的情况下促进流动性和灵活性,重新评估业务风险,实施安全的远程技术,审查BYOD政策,推动频繁的安全意识培训等等。虽然检查清单可能很长,但首席执行官们应该与他们的安全领导讨论优先事项和需求,以制定他们的远程工作战略。