最近,我们习惯于在非专业媒体上看到有关网络安全攻击和事件的信息:金融欺诈、电子商务网站无法运行、个人或机密数据被盗或泄露等等。
这是因为这些事件不再被认为是只有技术影响的问题或系统部门独有的问题,其影响要大得多,因为它影响到组织的所有业务领域。
网络攻击会影响整个企业
客户、用户、公民、运营、生产、组织和品牌声誉、知识产权、客户满意度,这些以及更多都受到影响。可以说,一切都直接或间接地影响着企业的经济收入和价值。
这种类型的网络安全事件对企业的影响方式在很大程度上取决于该组织所处的活动和市场领域:金融机构将更多地暴露在以金融盗窃或欺诈为目标的攻击之下。一家零售公司可能是一个有吸引力的欺诈或拒绝服务攻击的目标,使其交易网站停止运作。如果病人的机密数据被泄露,医疗机构可能会遭受声誉损失或受到监管部门的制裁。
做好准备可以确保快速恢复:"网络弹性"。
在安全顾问中,我们建议开展咨询活动,以确定一个组织遭受网络安全事件的风险有多大,并确定它有哪些能力来应对事件,恢复和继续运作。简而言之,要确定该组织的 "网络弹性 "如何。
组织内的CISO或网络安全经理的职能之一是实现对人力资源的充分认识,使他们了解他们所面临的风险,它可能对组织产生的影响,以及减少事件发生的可能性的最佳做法,并在事件发生时将影响降至最低。
高级管理层必须了解网络安全风险的概念及其对企业的影响。高级管理层的这种意识将使倡议的产生及其相应的预算成为可能。除了在组织的其他举措中整合网络安全部分。
一个专门的团队
安全顾问的咨询领域提供的服务面向董事会和高级管理层的意识,让这些行政机构了解网络安全的基本概念,威胁和当前的案例以及对业务可能产生的影响。
考虑到网络安全事件可能对企业产生的影响,将供应商纳入组织的网络安全战略也很重要。供应商可能成为组织的漏洞来源或攻击媒介,但供应商的安全事件也可能影响组织的业务连续性。
总之,考虑到网络安全事件对组织业务的影响,除了关注具体的网络安全技术问题(敏感数据的加密或标记化,通过多因素机制认证交易等),组织必须正确关注其流程(角色和配置文件的适当定义,职责分离等)和提高其人力资源的意识(针对董事会和高级管理层的意识提升活动)。
关于安全顾问
它是一家专门从事信息安全的公司。它致力于为企业的技术和业务领域提供支持,评估其网络安全状况,并确定和实施最佳战略,以尽量减少网络安全事件对企业产生的影响。直接链接:咨询漏洞分析安全顾问
作者: Carlos Jaureche
商业经理 安全顾问 智利
连接