网络安全-组织-成功

网络安全:组织成功的关键

网络犯罪的复杂程度、规模和频率继续上升。虽然组织担心网络威胁,但他们中的绝大多数似乎行动缓慢,无法降低风险。各行各业的企业都在争先恐后地应对网络攻击,医疗保健、金融和政府部门报告了大量违规行为。

为了提高弹性并防范网络犯罪,组织必须充分了解风险。

  • 基本漏洞。 大量网络攻击针对的是企业系统中的明显漏洞。过时的软件补丁是经常被攻击者利用的内部风险的一个例子。
  • 人为因素。 人为错误仍然是许多组织的主要漏洞.人为错误可能包括将敏感信息发送给错误的收件人、意外在线发布机密信息以及错误配置资产以允许不必要的访问。
  • 预算限制。 大多数组织并没有在他们的安全框架上投入大量资金。尽管这种情况正在迅速发生变化,但安全团队并不总能吸引到采取主动方法所需的预算和资源。
  • 第三方风险.了解合作伙伴生态系统中服务和解决方案提供商的安全状况至关重要。供应商组织中的任何漏洞都可能成为您组织的潜在切入点。这在 SolarWinds 网络管理软件黑客事件中最为明显,该事件在 2020 年影响了众多美国政府部门。软件供应链是许多组织的关键漏洞。
  • 业务连续性.组织在发生安全漏洞时具有弹性非常重要。缺乏业务连续性和灾难恢复计划可能会导致严重的财务和声誉损失。

技术进步和数字化不断改变 IT 环境,使网络安全变得越来越难以管理。最大的危险是假设您永远不会成为网络攻击的受害者。

网络犯罪的影响

网络事件可能导致数百万美元的经济损失,而且成本通常会在很长一段时间内反复发生。随着意识的提高,客户更加意识到他们向组织提供了哪些信息。未能保护客户的数据可能会导致信任丧失和更广泛、重大的声誉损害。这也可能导致进一步的收入损失或对投资者的影响。

复杂的网络犯罪,包括勒索软件和拒绝服务 (DoS) 攻击,可能会造成重大损失。它们不仅使业务运营停止,而且有时还涉及巨额赎金。

最近对北美殖民地管道的攻击就是一个明显的例子。由于社区预期汽油短缺,这次袭击关闭了燃料分配网络并造成混乱。除了声誉受损之外,Colonial Pipeline 还遭受了直接的财务影响,支付了 440 万美元以结束攻击。

澳大利亚最近的报道表明,在遭受勒索软件攻击的澳大利亚企业中,超过三分之一支付了赎金,并且 许多组织缺乏针对勒索软件攻击的正式政策.许多司法管辖区都在施加压力,要求强制报告赎金支付,以真实了解问题的严重程度。

建立网络安全合规性

加州消费者隐私法案 (CCPA) 和通用数据保护条例 (GDPR) 的实施要求组织报告他们如何存储和管理客户数据。组织现在面临着越来越多关于“知情权”和“删除权”的要求。 如果没有适当的流程, 组织努力满足这些要求的最后期限,使自己处于弱势地位。此外,组织还可能因违反道德存储信息等问题而面临巨额罚款。仅在 2020 年,根据 GDPR 就发出了超过 1.5 亿英镑的罚款。

2017 年,澳大利亚修订了一项类似的隐私法,要求所有年收入超过 300 万美元的澳大利亚政府机构和私人组织在事件发生后 30 天内向澳大利亚信息专员报告安全漏洞。随着合规压力的增加和网络攻击的激增,公司不能忽视网络安全。

一种主动的安全方法

为应对网络威胁做好充分准备, 公司必须实施适合其业务的规则和程序.网络安全政策的制定不仅应包括 IT,还应包括业务战略团队和员工对其技术使用的反馈。在保护数据和轻松访问进行业务运营所需的信息之间保持平衡也很重要。

为了有效保护数据,公司的网络安全必须包括其所有网络、软件、应用程序和硬件。所有系统都必须经过测试和评估。必须建立详细的文档,概述如何检测攻击、在发生攻击时如何保护系统以及如何在攻击后启动恢复。这些系统还应为入职和离职员工提供明确的指导方针。

安全性通常是事后考虑,并作为附加层与技术集成。将网络安全视为数字业务的关键功能非常重要。安全性应该是所有流程的核心,是确保您长期成功的关键因素。

ISG 帮助世界各地的公司了解网络犯罪不断变化的性质,评估他们自己的网络安全成熟度,并制定路线图来预防、保护和在面对风险时保持弹性。  

关于作者

万西卡·马丹 是 ISG Research 的分析师。