不可接受的信息安全事件：Positive Technologies?案例研究

在首席信息安全官和高層管理代表的共同努力下，Positive Technologies?公司形成并建立了自己的防御戰(zhàn)略。隨著業(yè)務(wù)的發(fā)展，公司成功地從大量抽象的網(wǎng)絡(luò)風(fēng)險轉(zhuǎn)變?yōu)槿齻€關(guān)鍵的不可接受的信息安全事件：

1.?????????在產(chǎn)品中引入惡意代碼。供應(yīng)鏈攻擊對所有軟件開發(fā)人員來說都是潛在的危險。攻擊者在?IT?公司的產(chǎn)品中注入惡意代碼后，可以訪問客戶的基礎(chǔ)設(shè)施。這將對公司聲譽造成負(fù)面影響。

2.?????????經(jīng)常賬戶資金被盜。因網(wǎng)絡(luò)攻擊而損失任何金額的資金都是令人不快的事件。被盜這一事實本身就表明攻擊者現(xiàn)在可以訪問活期賬戶，這意味著他們將來可以盜取更大數(shù)額的資金，而這些資金本可以用于推出新產(chǎn)品等。此外，如果業(yè)務(wù)關(guān)鍵金額被提取，將無法開展業(yè)務(wù)。去年，Positive Technologies?公司通過漏洞懸賞實現(xiàn)了一個不可接受的事件--從公司賬戶中轉(zhuǎn)移資金。

3.?????????敏感信息泄露。每家公司都會獨立決定哪些數(shù)據(jù)屬于敏感數(shù)據(jù)。對于?Positive Technologies?而言，首先必須保護客戶審計結(jié)果。

理想的情況是，公司管理層可以隨時制定不可接受的事件。同時，信息安全服務(wù)的作用僅限于提供技術(shù)知識，而絕不意味著要確定哪些是企業(yè)不能接受的。

如何與首席信息安全官建立正確的溝通

在建立有效網(wǎng)絡(luò)安全的道路上，Positive Technologies?以問答的形式準(zhǔn)備了一些建議。副首席執(zhí)行官可以通過這些建議更好地了解應(yīng)該向首席信息安全官提出哪些問題，如果首席信息安全官的回答與本文中的相似，您就可以放心了。

1.?首席信息安全官對企業(yè)的責(zé)任是什么？

首席信息安全官的責(zé)任不在于事件響應(yīng)方面的報告和?SLA?指標(biāo)結(jié)果，而在于掌握公司內(nèi)不可接受事件的清單，包括可能的攻擊載體、計算的損失以及加強目標(biāo)和關(guān)鍵系統(tǒng)保護的行動計劃。

2.?信息安全服務(wù)部門如何檢查公司是否受到保護，防止不可接受事件的發(fā)生？

經(jīng)過認(rèn)證的信息系統(tǒng)、符合監(jiān)管要求和國際標(biāo)準(zhǔn)并不能保證高水平的安全。信息安全會聘請市場專家，以網(wǎng)絡(luò)演習(xí)或漏洞懸賞的形式對安全進行評估。這些專家尋找實現(xiàn)不可接受事件的方法。如果專家們一次又一次地找不到這些方法，那么管理人員就可以肯定，不可接受的事情是不可能發(fā)生的。

3.?信息安全現(xiàn)在能保證公司的安全嗎？一年后會發(fā)生什么變化？

今天，任何公司都有可能被黑客攻擊，不可接受的事件也有可能發(fā)生（數(shù)字化發(fā)展迅速，與其他組織的聯(lián)系越來越多，這意味著通過合作伙伴進行攻擊也是有可能的）。為了改變這種狀況，我們需要制定信息安全目標(biāo)，以防范不可接受事件的發(fā)生，并定期進行獨立的安全評估。首席信息安全官制定了網(wǎng)絡(luò)安全流程發(fā)展計劃，該計劃的實施可確保在一年（或其他特定時間段）內(nèi)不會發(fā)生不可接受的事件。

4.?公司的安全如何取決于財務(wù)投資？我們團隊在網(wǎng)絡(luò)安全方面的投資效果如何？

企業(yè)的安全水平并不總是取決于信息安全投資。無處不在的自動化和攻擊者日益增強的能力確保未來會發(fā)生更多的網(wǎng)絡(luò)事件。雖然投資與建立有效的網(wǎng)絡(luò)安全之間沒有直接關(guān)系，但從業(yè)務(wù)角度來看，你應(yīng)該把重點放在最重要的事情上，即防止不可接受的事件發(fā)生。在這種情況下，投資的有效性取決于能否阻止公司的運營和戰(zhàn)略活動。

信息安全與高級管理層之間的成功溝通是有效網(wǎng)絡(luò)安全的重要組成部分，但并不是唯一的組成部分。在咄咄逼人的數(shù)字環(huán)境中，您還必須與信息安全界進行接觸。只有齊心協(xié)力，才能遏制網(wǎng)絡(luò)犯罪分子的肆虐，因此，使用經(jīng)同行評審的核對表、最佳實踐和當(dāng)前方法，并成為社區(qū)的一員，是非常重要的。文章來源地址http://www.zghlxwxcb.cn/news/detail-759025.html

到了這里，關(guān)于高層管理者應(yīng)向 CISO 提出哪些有關(guān)公司安全的問題的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！