前面，我們?根據(jù)英國NCSC簡單介紹了，關于網(wǎng)絡安全，領導層應該了解什么，后來我們有分享了領導層應該怎么做，今天結合這部分內(nèi)容，我們看看英國安全專家對網(wǎng)絡安全策略的看法。

關于網(wǎng)絡安全，領導層應該怎么做？

將網(wǎng)絡安全集成到組織的目標和風險中，如此重要有兩個原因。

首先，網(wǎng)絡安全會影響組織的各個方面。因此，為了正確管理網(wǎng)絡安全，必須被整合到組織風險管理和決策中。例如：

• 運營風險可能會受到網(wǎng)絡安全的支持，因為依賴于于使用的數(shù)字服務（電子郵件服務、定制軟件等）的安全性。
• 一些法律風險將與網(wǎng)絡安全風險聯(lián)系在一起（例如保護數(shù)據(jù)或合作伙伴關系的合同要求，以特定方式處理數(shù)據(jù)的監(jiān)管要求）。
• 財務風險受到網(wǎng)絡安全的影響（例如，通過網(wǎng)絡實施的欺詐造成的資金損失，以及服務因網(wǎng)絡攻擊而脫機時的收入損失）。
• 良好的網(wǎng)絡安全還將允許您在使用新技術進行創(chuàng)新時承擔一些風險。過于謹慎的風險處理方法可能導致錯失商機或額外的（和不必要的）成本。

其次，網(wǎng)絡安全需要整合才能成功。良好的網(wǎng)絡安全不僅僅是擁有良好的技術，而是人們與安全部門建立良好的關系，并在整個組織中建立正確的流程來管理它。

例如，為了防止攻擊者訪問敏感數(shù)據(jù)（同時確保只有具有當前有效要求的人才能看到它），您將需要：

• 存儲數(shù)據(jù)的良好技術解決方案
• 對處理數(shù)據(jù)的員工進行適當?shù)呐嘤?/li>
• 圍繞管理員工流動的流程，與訪問管理保持一致

在結構中反映注意內(nèi)容：

網(wǎng)絡安全是整個領導層的責任，不要把網(wǎng)絡安全留給一個人。

網(wǎng)絡安全事件將影響整個組織的重要事件，不僅僅是IT部門的重要事件。例如，可能會影響在線銷售，影響合同關系或?qū)е路苫虮O(jiān)管行動。領導層內(nèi)部應有足夠的專業(yè)知識，以便為網(wǎng)絡安全戰(zhàn)略提供指導，并將決策追究責任。然而，領導層的每個成員都需要足夠的專業(yè)知識來了解它如何影響他們的重點領域，并了解對整個組織的廣泛影響。

英國境外的網(wǎng)絡安全：在嘗試了解網(wǎng)絡安全對組織的影響和風險時，一個重要的考慮因素是組織在哪個國家/地區(qū)運營。對于那些在英國境外運營或在英國境外擁有合作伙伴的組織，CPNI智能業(yè)務指南強調(diào)了這可能如何影響安全考慮因素，包括網(wǎng)絡安全。本工具包的“與供應商和合作伙伴協(xié)作”部分提供了有關如何緩解與這些關系相關的網(wǎng)絡安全風險的指導。

與專家互動

考慮報告結構是否使領導層能夠參與其所需的網(wǎng)絡安全。如果CISO向領導層報告的中介機構只關注一個方面，無論是財務還是法律或技術-這可能會阻礙領導層看到網(wǎng)絡安全更廣泛影響的能力?，F(xiàn)在在大多數(shù)組織中，CISO直接向領導層報告。

改善組織中網(wǎng)絡安全的一個好起點是考慮專家與領導層成員之間的溝通。獲得正確的結構可能會有所幫助，但我們也經(jīng)?？吹诫p方都不愿意參與，因為：

• 技術人員認為領導層不會理解他們（屬于臆測）
• 領導層認為技術人員無法在組織戰(zhàn)略目標的背景下解釋問題（同樣屬于臆測）

改善這兩個群體之間的溝通需要雙方的努力：

• 領導層需要對網(wǎng)絡安全有足夠深入的了解，才能了解網(wǎng)絡安全如何支持其整體組織目標
• 技術人員需要認識到網(wǎng)絡風險的溝通是他們工作的核心組成部分，并確保他們了解自己在促進組織目標方面的作用。

五月份，網(wǎng)絡安全解決方案公司Crossword Cybersecurity Plc發(fā)布了一份新 報告 ，表明英國公司越來越擔心網(wǎng)絡攻擊。在對 200 多名 CISO 和高級網(wǎng)絡安全專業(yè)人士的調(diào)查中，40% 的受訪者表示，他們目前的網(wǎng)絡安全戰(zhàn)略可能在短短兩年內(nèi)就會過時。另有 37% 的人表示這將在三年內(nèi)發(fā)生。

不斷增加的網(wǎng)絡攻擊數(shù)量加上不斷的技術創(chuàng)新意味著公司必須不斷更新其網(wǎng)絡安全戰(zhàn)略。超過五分之三 (61.4%) 的參與者表示自己對阻止網(wǎng)絡攻擊的能力“相當有信心”。 

為了跟上網(wǎng)絡攻擊的風險，公司需要在網(wǎng)絡安全解決方案上投入更多資金。考慮到這一點，只有 44% 的受訪者表示他們擁有必要的手段來保護他們的組織免受近期和中期風險以及技術趨勢的影響。公司迫切需要制定網(wǎng)絡安全戰(zhàn)略以減輕長期威脅。

“董事會必須確保首席信息安全官有必要的預算來控制短期問題，然后開始規(guī)劃長期的業(yè)務范圍戰(zhàn)略。這樣的戰(zhàn)略應該得到標準運營模型的支持，該模型為公司的整個供應鏈提供強大的流程和政策。Crossword Cybersecurity plc 集團董事總經(jīng)理 Stuart Jubb 在新聞稿中表示，每個月的延遲都會使企業(yè)面臨潛在的嚴重網(wǎng)絡攻擊。

根據(jù) Crossword 的說法，未來五年需要采取更具戰(zhàn)術性的方法。當前的網(wǎng)絡安全戰(zhàn)略過于脆弱，必須通過綜合解決方案加以加強。此外，縮小技能差距應該是重中之重，這意味著必須分配資源來雇用頂尖人才或培訓現(xiàn)有員工。 

Jubb 爭辯道：“管理日常風險是一項艱難的平衡行動，但如果首席信息安全官有合適的資源來提升他們的團隊和工具的技能，利用人工智能帶來效率和自動化，以幫助保護他們的組織及其供應鏈免受當今的威脅”。

貨幣，進入網(wǎng)絡安全行業(yè)的門檻太高了。公司應該從更多元化的人才庫中招募人才，并聘請認知心理學家、變革經(jīng)理和業(yè)務專家以及其他與游戲相關的專業(yè)人士。只關注那些擁有技術技能的人不會提供競爭優(yōu)勢。

目前，網(wǎng)絡安全專家認為公司主要關注短期優(yōu)先事項，即軟件驗證和勒索軟件攻擊。在接下來的 12 個月中，四分之三的受訪者表示軟件驗證將是一個關鍵焦點，而 69% 的受訪者表示他們將過渡到云。此外，三分之二 (67%) 的參與者表示他們將專注于應對勒索軟件攻擊的威脅。 

倫敦大學城市網(wǎng)絡安全研究所所長兼安全工程教授 Muttukrishnan Rajarajan 表示：“解決勒索軟件是研究領域的一個巨大關注領域，因此我對這項調(diào)查中的高分并不感到驚訝。在新聞稿中，我們經(jīng)?常被委托從事僅關注這一點的項目——對一家中小企業(yè)的攻擊可能會導致整個供應鏈陷入停頓，正如我們最近通過 Log4J 代碼庫引入的漏洞所看到的那樣?！?nbsp;

解決這些直接威脅是不夠的。為了開發(fā)一種更強大的網(wǎng)絡安全方法，Crossword 建議利用員工的不同見解，無論是通過研討會還是集思廣益的風險和相應的解決方案的整個景觀。

這里，我們其實就明白了，為何我們的等級保護測評需要每年開展，風險評估要定期開展。因為網(wǎng)絡安全這事，沒有一勞永逸的事情，而我們的網(wǎng)絡安全策略其實是非常容易過時的，加之我們?nèi)巳硕加卸栊?，往往喜歡“簡單”的事情，也為攻擊者降低了攻擊難度。所以，我們不是圣人，還得"時時勤拂拭，勿使惹塵埃",畢竟我們常常使他惹塵埃。