Alliantist的創(chuàng)始人兼首席執(zhí)行官Mark Darby探討了ISO 27001的重要性-這是企業(yè)應(yīng)該努力達到的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)
信息安全管理要求ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出,并于1995年5月修訂而成的��。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個部分:BS7799-1����,信息安全管理實施規(guī)則BS7799-2�����,信息安全管理體系規(guī)范。第一部分對信息安全管理給出建議�,供負(fù)責(zé)在其組織啟動�����、實施或維護安全的人員使用;第二部分說明了建立���、實施和文件化信息安全管理體系(ISMS)的要求,規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。
當(dāng)前的網(wǎng)絡(luò)安全格局是一種混亂����,但也是一種認(rèn)識到需要改變的事物。
這在政府推出的計劃中得到了最好的體現(xiàn),例如Cyber Essentials。但是,即使這一點正在審查中�,目前尚不清楚2020年初會發(fā)生什么-更多的混亂!
面對網(wǎng)絡(luò)安全危機,有大量的認(rèn)證和模型����,企業(yè)被建議甚至被迫采用�。
其中的巔峰之作是ISO 27001-唯一的信息安全管理系統(tǒng)標(biāo)準(zhǔn)����,可以通過一定程度的權(quán)威進行獨立認(rèn)證。甚至NIST網(wǎng)絡(luò)安全也沒有那個“認(rèn)證”����,所以這也是智慧和更強大的買家推動ISO 27001的另一個原因
除此之外,監(jiān)管環(huán)境正在趕上最新的數(shù)據(jù)保護法案和GDPR���。
“無所事事不是一種選擇”
ISMS.online背后的公司Alliantist的創(chuàng)始人Mark Darby表示��,領(lǐng)導(dǎo)者和企業(yè)開始認(rèn)識到“無所事事不是一種選擇”��,但他們不確定該做什么,這有助于企業(yè)證明他們信息安全管理可以成為值得信賴的�。
為什么要改變心意�����?達比指出,遭受破壞的風(fēng)險和后果越來越大��,這是主要原因。而且,由于這一點和GDPR這樣的法規(guī),更大的企業(yè)-供應(yīng)鏈中的強大企業(yè),可以向供應(yīng)商指示他們做什么-正在尋求認(rèn)可的認(rèn)證�。
“最簡單的可能是Cyber Essentials�,但這只是到目前為止,”達比說?��!案斆鞯钠髽I(yè)希望看到物理安全以及網(wǎng)絡(luò)安全和安全產(chǎn)品開發(fā),而不僅僅是保護路由器等,更好�����,更受認(rèn)可的是ISO 27001���?�!?/span>
這種接近安全的新方式仍在不斷涌現(xiàn),景觀仍然分散和混亂���。
“有人需要通過它開辟更多的楔子,以便讓那些開始認(rèn)識到他們有意識地?zé)o能力的企業(yè)更容易���,而不是無意識地?zé)o能,”他繼續(xù)道����。
從無意識轉(zhuǎn)變?yōu)橛幸庾R到積極主動
承認(rèn)網(wǎng)絡(luò)安全問題是第一步�����。然后是一個主動解決企業(yè)安全漏洞的案例。
擁抱Cyber Essentials是一個良好的開端�,但正如Darby所暗示的那樣����,這還不夠����。
“希望英國國家網(wǎng)絡(luò)安全中心(NCSC)和其他人會做的事情是,他們將開始圍繞公認(rèn)的標(biāo)準(zhǔn)�,如ISO 27001���,”他希望�����?�!岸皇撬羞@些企業(yè)都試圖將自己的某些東西帶出來,如果努力幫助跨越關(guān)鍵領(lǐng)域的企業(yè),那將會好得多。
“我認(rèn)為隨著時間的推移,我們將朝著這個方向發(fā)展,但企業(yè)可以自己做的事情可能就是開始教育他們的供應(yīng)鏈����。”
保護供應(yīng)鏈
整個供應(yīng)鏈的失敗是需要克服的最大安全障礙之一����。
現(xiàn)在是企業(yè)接受Darby所謂的“負(fù)責(zé)任的客戶�,負(fù)責(zé)任的供應(yīng)商計劃”的時候了����。
“讓我們想象一下,你是一家大型銀行��,你有一個非常重要的供應(yīng)鏈�����,而不是僅僅向供應(yīng)鏈發(fā)送一份合同����,表明你將符合ISO 27001�����,為什么不幫助他們呢����?為什么不讓他們具備這樣做的能力呢�?那么他們實際上是在供應(yīng)鏈中建設(shè)能力和能力,并使供應(yīng)鏈更具彈性����?大型企業(yè)可以做很多事情來幫助規(guī)模較小���,財富較少,經(jīng)驗較少的企業(yè)��?���!?/span>
協(xié)作是關(guān)鍵。它一直都是��。但是��,對于保持最佳實踐或秘密工作方式的自然商業(yè)反應(yīng)����,它一直受挫����。
現(xiàn)在,它采用更智能的工作方式,采用可幫助企業(yè)在供應(yīng)鏈中上下移動的產(chǎn)品;找出風(fēng)險,后果和機會在哪里,然后看看那個基礎(chǔ)是否有人已經(jīng)解決了這些問題,如果是�����,如何解決����?
成本挑戰(zhàn)
網(wǎng)絡(luò)安全技能是一種稀缺商品。
而且��,正因為如此�,專家費用正在上升-這意味著它使小型企業(yè)無法承受安全問題;他們無法承擔(dān)非常重要的咨詢支持。
為了解決這個問題�,Alliantist問:“我們?nèi)绾尉幾胂∪辟Y源�?我們?nèi)绾伍_始使用自動化����,機器學(xué)習(xí)等類似的東西并將其構(gòu)建成產(chǎn)品,“Darby問道��。
企業(yè)必須考慮不同的工作方式來鞏固供應(yīng)鏈�。但是����,至關(guān)重要的是����,即使他們有錢��,資源并不總是存在����。
政府����,企業(yè),大學(xué)和其他教育機構(gòu)正在開始解決人才短缺問題并建立未來的能力。但是,它目前還不完全存在。
制定信息安全戰(zhàn)略
與大多數(shù)與技術(shù)相關(guān)的計劃一樣,安全性必須從最高層開始;“尤其是因為GDPR的威脅和風(fēng)險以及有價值的知識產(chǎn)權(quán)的丟失是一個嚴(yán)重的問題�����,”達比說�。
在今天的媒體第一環(huán)境中,違規(guī)丑聞和數(shù)據(jù)濫用是詛咒;可能使企業(yè)損失數(shù)百萬或數(shù)十億美元����,具體取決于其市值��。因此,股東和更廣泛的利益相關(guān)者將受到真正的關(guān)注。
如果一個企業(yè)不被信任,那么它就不會出去贏得市場���,也不會在戰(zhàn)略上能夠在它想要的領(lǐng)域成長-這是企業(yè)領(lǐng)導(dǎo)人的關(guān)鍵考慮因素。
Darby談到自己在商業(yè)和戰(zhàn)略方面的背景時說:“信息安全正在影響我的成長能力,所以我們必須進入并理解這一點����,因為我們是一家提供軟件服務(wù)的技術(shù)公司���,為我們提供有價值的數(shù)據(jù)。顧客�����。
“任何代表另一個企業(yè)的數(shù)據(jù)處理器的人都需要證明他們可以信任�,這是一個板級挑戰(zhàn)。因此�����,如果你在一家大型銀行或者你是一個小企業(yè)�����,這是一個重大的增長挑戰(zhàn)����?!?/span>
領(lǐng)導(dǎo)網(wǎng)絡(luò)安全費用
在大企業(yè)中,首席執(zhí)行官或董事會不太可能領(lǐng)導(dǎo)網(wǎng)絡(luò)安全�。
然而��,鑒于該主題的重要性,這一責(zé)任將落在首席信息官�,首席技術(shù)官或首席信息安全官的肩上-具有這種能力的人�����。
“在整個供應(yīng)鏈中加入企業(yè)的戰(zhàn)略層面,它影響到每個員工和每個供應(yīng)商����,高級管理層應(yīng)該處理這個問題�,”達比說�����。
“在大型企業(yè)中,您通常會遇到DPO��,CISO�����,CTO��,CIO或高級別人士����,”他繼續(xù)說道�。“但是�,在中小型企業(yè)中����,你正在談?wù)撍姓呒墑e��,創(chuàng)始人級別�����。
“這是一個棘手的挑戰(zhàn),你不能委托給最初級的人;它需要這種級別的領(lǐng)導(dǎo)和參與����。
“即使使用像我們這樣的工具來解決這個問題并不是一個昂貴的問題����,但如果出現(xiàn)問題或者沒有它就無法贏得這項新業(yè)務(wù)���,這是一個非常昂貴的問題�����。”
ISMS.online背后的公司Alliantist是Tech Nation Cyber的一部分-這是英國首個針對網(wǎng)絡(luò)安全領(lǐng)域的全國性擴展計劃。它的目標(biāo)是雄心勃勃的科技公司為增長做好準(zhǔn)備����。
0
賬號登錄