Alliantist的創始人兼首席執行官Mark Darby探討了ISO 27001的重要性-這是企業應該努力達到的網絡安全標準
信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準��,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的�����。1999年BSI重新修改了該標準��。BS7799分為兩個部分:BS7799-1��,信息安全管理實施規則BS7799-2,信息安全管理體系規范����。第一部分對信息安全管理給出建議�,供負責在其組織啟動、實施或維護安全的人員使用�����;第二部分說明了建立�����、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求�����。
當前的網絡安全格局是一種混亂�����,但也是一種認識到需要改變的事物����。
這在政府推出的計劃中得到了最好的體現����,例如Cyber Essentials。但是,即使這一點正在審查中,目前尚不清楚2020年初會發生什么-更多的混亂���!
面對網絡安全危機,有大量的認證和模型,企業被建議甚至被迫采用�。
其中的巔峰之作是ISO 27001-唯一的信息安全管理系統標準����,可以通過一定程度的權威進行獨立認證���。甚至NIST網絡安全也沒有那個“認證”�����,所以這也是智慧和更強大的買家推動ISO 27001的另一個原因
除此之外,監管環境正在趕上最新的數據保護法案和GDPR。
“無所事事不是一種選擇”
ISMS.online背后的公司Alliantist的創始人Mark Darby表示,領導者和企業開始認識到“無所事事不是一種選擇”���,但他們不確定該做什么,這有助于企業證明他們信息安全管理可以成為值得信賴的。
為什么要改變心意���?達比指出,遭受破壞的風險和后果越來越大,這是主要原因��。而且�����,由于這一點和GDPR這樣的法規��,更大的企業-供應鏈中的強大企業,可以向供應商指示他們做什么-正在尋求認可的認證�。
“最簡單的可能是Cyber Essentials�����,但這只是到目前為止,”達比說���。“更聰明的企業希望看到物理安全以及網絡安全和安全產品開發�����,而不僅僅是保護路由器等�,更好,更受認可的是ISO 27001?�!?/span>
這種接近安全的新方式仍在不斷涌現���,景觀仍然分散和混亂��。
“有人需要通過它開辟更多的楔子�,以便讓那些開始認識到他們有意識地無能力的企業更容易����,而不是無意識地無能,”他繼續道���。
從無意識轉變為有意識到積極主動
承認網絡安全問題是第一步。然后是一個主動解決企業安全漏洞的案例��。
擁抱Cyber Essentials是一個良好的開端��,但正如Darby所暗示的那樣�,這還不夠�����。
“希望英國國家網絡安全中心(NCSC)和其他人會做的事情是���,他們將開始圍繞公認的標準����,如ISO 27001,”他希望��?���!岸皇撬羞@些企業都試圖將自己的某些東西帶出來,如果努力幫助跨越關鍵領域的企業���,那將會好得多。
“我認為隨著時間的推移�,我們將朝著這個方向發展����,但企業可以自己做的事情可能就是開始教育他們的供應鏈���?�!?/span>
保護供應鏈
整個供應鏈的失敗是需要克服的最大安全障礙之一�。
現在是企業接受Darby所謂的“負責任的客戶��,負責任的供應商計劃”的時候了���。
“讓我們想象一下�,你是一家大型銀行��,你有一個非常重要的供應鏈�,而不是僅僅向供應鏈發送一份合同�,表明你將符合ISO 27001�,為什么不幫助他們呢?為什么不讓他們具備這樣做的能力呢���?那么他們實際上是在供應鏈中建設能力和能力,并使供應鏈更具彈性��?大型企業可以做很多事情來幫助規模較小����,財富較少,經驗較少的企業����?���!?/span>
協作是關鍵��。它一直都是�����。但是,對于保持最佳實踐或秘密工作方式的自然商業反應����,它一直受挫����。
現在,它采用更智能的工作方式,采用可幫助企業在供應鏈中上下移動的產品;找出風險,后果和機會在哪里�,然后看看那個基礎是否有人已經解決了這些問題��,如果是,如何解決�����?
成本挑戰
網絡安全技能是一種稀缺商品�。
而且,正因為如此���,專家費用正在上升-這意味著它使小型企業無法承受安全問題;他們無法承擔非常重要的咨詢支持。
為了解決這個問題�����,Alliantist問:“我們如何編纂稀缺資源�����?我們如何開始使用自動化,機器學習等類似的東西并將其構建成產品�����,“Darby問道��。
企業必須考慮不同的工作方式來鞏固供應鏈��。但是,至關重要的是����,即使他們有錢�,資源并不總是存在����。
政府,企業,大學和其他教育機構正在開始解決人才短缺問題并建立未來的能力。但是,它目前還不完全存在。
制定信息安全戰略
與大多數與技術相關的計劃一樣��,安全性必須從最高層開始;“尤其是因為GDPR的威脅和風險以及有價值的知識產權的丟失是一個嚴重的問題�,”達比說。
在今天的媒體第一環境中,違規丑聞和數據濫用是詛咒;可能使企業損失數百萬或數十億美元���,具體取決于其市值。因此,股東和更廣泛的利益相關者將受到真正的關注。
如果一個企業不被信任���,那么它就不會出去贏得市場,也不會在戰略上能夠在它想要的領域成長-這是企業領導人的關鍵考慮因素�。
Darby談到自己在商業和戰略方面的背景時說:“信息安全正在影響我的成長能力�����,所以我們必須進入并理解這一點,因為我們是一家提供軟件服務的技術公司�,為我們提供有價值的數據�。顧客���。
“任何代表另一個企業的數據處理器的人都需要證明他們可以信任�����,這是一個板級挑戰。因此�,如果你在一家大型銀行或者你是一個小企業����,這是一個重大的增長挑戰��?!?/span>
領導網絡安全費用
在大企業中�,首席執行官或董事會不太可能領導網絡安全。
然而����,鑒于該主題的重要性�,這一責任將落在首席信息官,首席技術官或首席信息安全官的肩上-具有這種能力的人���。
“在整個供應鏈中加入企業的戰略層面,它影響到每個員工和每個供應商��,高級管理層應該處理這個問題��,”達比說�����。
“在大型企業中,您通常會遇到DPO�,CISO�,CTO�����,CIO或高級別人士����,”他繼續說道��。“但是���,在中小型企業中,你正在談論所有者級別,創始人級別。
“這是一個棘手的挑戰��,你不能委托給最初級的人;它需要這種級別的領導和參與�����。
“即使使用像我們這樣的工具來解決這個問題并不是一個昂貴的問題�����,但如果出現問題或者沒有它就無法贏得這項新業務,這是一個非常昂貴的問題����?���!?/span>
ISMS.online背后的公司Alliantist是Tech Nation Cyber的一部分-這是英國首個針對網絡安全領域的全國性擴展計劃��。它的目標是雄心勃勃的科技公司為增長做好準備��。
0
賬號登錄