|
|
|
|
|
|
来源:www.aryasec.cn 发布日期:2025.07.22 点击量:
信息安全|关注安言
HW在即,许多企业也开始积极地准备HW期间的相关事宜。对于安全成熟度较高的企业来说,其内部往往会多次举办攻防演练,在面对HW时显得较为“淡定”。但对于那些安全能力较差,却又被纳入HW行动的企业来说,参与HW可能会暴露出很多问题,相关负责人也会“压力山大”。
其中还包含一种企业,它们的安全支出只在HW期间。你会发现,那些平时不怎么关心安全的领导,在HW期间突然掏出大量预算招兵买马,还会紧急宣贯安全教育,颇有一种大考前临时抱佛脚的感觉。
实际上,任何事情、任何工作都很难一蹴而就,就像高考需要学生的积累一样,直到临考前才拿出课本学习的学生们很少能取得好成绩。企业也是如此,平时不注重安全,HW来了才开始“临时抱佛脚”,自然也不可能在HW中取得收获。更何况,这种“不健康”的安全本身也会带来一系列的风险。
仙侠小说中总会有这样的人物形象,他们基础薄弱,练功懈怠,只知道用大把大把的丹药催化自己的“功力”,这样的人平日里可能看不出内里虚空,直到真正面对危险时才发现自己一无是处。
那些安全“不健康”的企业也是如此,平时不注重安全,只知道应付HW的最终结果就是,当攻击者真的入侵时,他们会迅速丢盔卸甲,大量敏感数据、隐私数据被泄露,企业业务无法开展,然后被监管点名,相关负责人要么锒铛入狱,要么被行业除名,企业名声也一落千丈。
那么,怎么避免“不健康”的安全,以及如何判断一个企业的安全建设是否“不健康”呢?通常情况下,安全“不健康”的企业有以下具体表现:
1.安全预算投入不合理。理论上,企业会制定短期、中期及长期的网络安全支出规划,以确保安全建设的连续性。但安全“不健康”的企业会在发生安全事件后以及HW期间临时增加人力物力,或是采用安服等外部能力来短暂地提升安全能力。不合理的预算投入不仅无法真正提升安全能力,有时反而会导致预算浪费,支出相对更多等情况。
2.缺少常态化可持续的安全运营机制。现阶段,安全运营是企业实现安全的重中之重。但部分企业缺乏运营思维,对于安全的重视程度不高。这会造成安全工具各自为政,企业安全无法连成片,看似覆盖了大量的暴露面,实际却有大量漏洞隐藏其中,更易导致安全事故的发生。
3.安全意识薄弱。安全意识是企业安全建设的一道分水岭,做得好的企业安全能力通常较好,做得差的企业往往也会面临大量的安全威胁。特别是HW期间,企业员工意识薄弱,就会因为钓鱼邮件、社工等成为突破口,导致企业HW被扣分、成绩差等等。
4.安全责任划分不明确。企业安全从业者缺少话语权,无法左右管理制度和责任划分的设定,就很有可能导致安全责任划分不明确。在HW期间,发生紧急安全事件时,安全责任不清会导致响应和处置不及时,从而导致HW失利等等。
实际上,在很多情况下,造成安全“不健康”的主要原因是预算,无论是因为安全意识不足,还是因为企业整体发展受阻,都会导致安全预算下降或不足。然而,如果只在HW期间增加预算,不仅无法节省预算,反而会花得更多。
相对来说,那些平日里形成良好的安全运营机制/能力的企业,不仅能够更加从容应对HW,还会更加节省预算。这是因为安全机制成熟、能力相对完善的企业,能够更准确地了解自身的安全薄弱点,在HW期间可以围绕薄弱点进行重点防护,这不仅能够有效提高安全能力,也能把钱用在刀刃上,避免了安全冗余的浪费。
此外,“不健康”的安全可能会让企业的安全能力建设陷入恶性循环。随着安全技术的快速演进,安全基础薄弱的企业不仅无法快速应用新技术,还会无法实现诸如数字驱动、AI驱动业务等等。安全作为“底座”如果不牢固的话,只能在这个时代落后,逐渐淘汰。
因此,避免安全“不健康”的前提是企业的管理者能够转变自己的思维,从应对HW转向打造常态化可持续的安全运营机制/能力,让安全能够润物细无声地贯穿企业生命线的始终。
建立健全的安全运营机制/能力不能只喊口号,它需要一系列的流程,需要按部就班。对此,安言对于企业安全运营建设提出了以下建议:
1.争取高层领导的支持和承诺
高层领导的支持是企业建设安全的关键,正所谓巧妇难为无米之炊,没有上级支持,安全负责人也无法凭空变出预算。因此,企业安全负责人要获得领导力承诺,确保高层领导对网络安全的重要性有明确认识,并公开承诺支持网络安全工作。同时还要落实战略规划,将网络安全纳入企业的战略规划,定期召开高层会议讨论网络安全状况和策略。
2.持续的员工培训和教育
正如周鸿祎所说,解决网络安全的关键是人才,而企业员工也应该是解决企业安全的一分子。对此,企业需要开展定期持续的安全培训,增强全体员工的安全意识和技能,包括如何识别和应对常见威胁(如钓鱼攻击、社交工程等)。同时,还要定期进行网络安全模拟演练,让员工熟悉安全事件的应对流程,提升实际操作能力。
3.健全安全管理制度
建立安全管理制度可以确保安全建设的各个环节得到充分的落地和实施。因此,企业需要制定并执行严格的网络安全政策和标准,确保所有员工和业务流程都遵循这些规定。此外,还要定期进行内部审计和合规性检查,确保安全措施落实到位,并根据审计结果进行改进。
4.持续的技术投入
攻击者不会原地踏步,等待防守企业追赶上来,因此,企业需要拥有持续的技术投入。企业需要持续投资于网络安全技术,包括防火墙、入侵检测系统、数据加密、端点保护等,并建立有效的漏洞管理流程,定期扫描和修复系统和应用中的安全漏洞。
5.建立完善的风险管理和应急响应机制
除了事前的准备,事中的应急处理也非常关键。因此,企业需要定期进行网络安全风险评估,识别和分析潜在威胁和风险,制定相应的应对策略。同时,企业还需要制定详细的应急响应计划,明确事件响应流程和责任分工,并进行定期演练。
6.培养安全文化
在一系列的安全措施奏效后,企业可以考虑培养安全文化,包括推动全体员工参与网络安全工作,形成共同维护安全的文化氛围,以及定期举办网络安全意识活动,如讲座、竞赛、宣传活动等,增强员工的安全意识。
7.外部合作和咨询
除此之外,企业也可以寻求外部合作和咨询,避免“坐井观天”。企业可以与专业的网络安全服务提供商合作,获取最新的安全技术和咨询服务。还可以积极参与行业内的网络安全交流活动,学习和分享最佳实践和经验。
8.设立奖惩机制
最后是设立奖惩机制,以提高企业内部对安全建设的积极性。奖励措施是对在网络安全工作中表现突出的员工和团队给予表彰和奖励,激励大家积极参与。惩罚措施是对违反网络安全政策和规定的行为进行适当的处罚,确保制度的执行力。
由此可以看出,建立安全运营机制/能力需要企业充分意识到安全运营的重要性和价值,坚持长期的建设和落地,实现持续的网络安全运营。
持续的网络安全运营不仅关系到企业的数据安全、业务连续性,还直接影响企业的声誉和长期发展。此外,在数据保护、业务连续性、合规性和提高竞争力等方面,持续的网络安全运营也能提供显著助益。
在数据保护方面,企业的核心数据和敏感信息是其运营的关键资产。持续的网络安全运营可以确保这些数据不被未经授权地访问、篡改或泄露,从而保障企业的数据安全和隐私。
在业务连续性方面,网络安全威胁可能导致企业系统瘫痪、业务中断。通过持续的网络安全运营,企业可以及时发现并应对威胁,确保业务的连续性和稳定性。
在合规性方面,随着网络安全法规的不断完善,企业需要满足各种合规要求。持续的网络安全运营可以确保企业始终符合相关法规,避免因违规而遭受罚款或声誉损失。
在提高竞争力方面,网络安全已成为企业竞争力的重要组成部分。通过持续的网络安全运营,企业可以建立强大的安全防护体系,提高客户信任度,从而在竞争激烈的市场中脱颖而出。
此外,想要推动持续的安全运营还需要树立常态化的网络安全投入意识,确保安全运营的稳步运行。常态化网络安全投入意识是持续安全运营的根本,其必要性可以从以下几个方面体现:
1.预防胜于治疗:网络安全威胁无处不在,而且不断演变。常态化网络安全投入意识可以使企业始终保持警觉,提前预防潜在威胁,而不是在问题发生后再进行补救。
2.长期效益:虽然网络安全投入在短期内可能增加企业的运营成本,但从长远来看,它可以帮助企业避免更大的损失,如数据泄露、业务中断等。因此,常态化网络安全投入意识是企业实现长期稳健发展的关键。
3.全员参与:网络安全不仅是IT部门的事情,更是每个员工的责任。常态化网络安全投入意识可以增强全体员工的网络安全意识,形成全员参与、共同维护网络安全的良好氛围。
4.持续创新:网络安全技术不断发展和创新。常态化网络安全投入意识可以推动企业持续关注新技术、新应用,不断完善和升级自身的安全防护体系,以应对日益复杂的网络安全威胁。
综上所述,持续的网络安全运营对于企业来说至关重要,而常态化网络安全投入意识则是实现持续网络安全运营的基础和保障。只有树立常态化网络安全投入意识,企业才能在数字化时代中稳健发展,确保数据安全和业务连续性。
相关新闻:
