Help net security發佈了一篇企業如何掌握自己的網路安全
網路安全是現今企業面臨的重要挑戰,隨著網路攻擊的方法和目標不斷變化,企業需要有有效的策略和技能來應對。在這篇訪談中,Reciproc-IT 的執行長 Baya Lonqueux 分享了他對網路安全風險管理的看法和建議。
Lonqueux 指出,過去網路安全被視為一個純技術性的領域,因此教育和培訓主要提供技術性的資源。然而,現在需要補足的是組織、治理和管理網路安全風險的技能,這些技能需要在企業中普及。他認為,企業需要將網路安全視為一個商業議題,而不是一個 IT 議題。
Lonqueux 也強調了採取主動行動來減輕網路安全風險的重要性。他建議企業應該執行以下幾個步驟:
- 確保企業清楚自己的安全需求,並透過涉及業務管理者來明確定義它們:這個行動的主要目的是找出需要保護的資產。
- 根據這個需求,驗證合規性水準:已經實施的安全措施是否符合這個需求?這就涉及到對資訊系統進行差距分析,以確定已經實施措施的成熟度。這些措施是否符合最佳實務、企業標準(法規或內部)?
- 根據這些結果,模擬風險,以檢查企業是否可能受到攻擊。定義風險情境和它們發生的機率。對最有可能發生的情境進行優先排序,並採取糾正行動。
Lonqueux 還表示,合規性是一個堅實的網路安全策略的推動力之一。企業必須不斷地檢視自己是否符合安全標準,並根據變化做出調整。他認為,合規性不僅是一種法律義務,也是一種商業責任。
詳情請看: