热门排行
2019
08/05
09:12
果果小编
评论
Alliantist的创始人兼首席执行官Mark Darby探讨了ISO 27001的重要性-这是企业应该努力达到的网络安全标准
信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
当前的网络安全格局是一种混乱,但也是一种认识到需要改变的事物。
这在政府推出的计划中得到了最好的体现,例如Cyber Essentials。但是,即使这一点正在审查中,目前尚不清楚2020年初会发生什么-更多的混乱!
面对网络安全危机,有大量的认证和模型,企业被建议甚至被迫采用。
其中的巅峰之作是ISO 27001-唯一的信息安全管理系统标准,可以通过一定程度的权威进行独立认证。甚至NIST网络安全也没有那个“认证”,所以这也是智慧和更强大的买家推动ISO 27001的另一个原因
除此之外,监管环境正在赶上最新的数据保护法案和GDPR。
“无所事事不是一种选择”
ISMS.online背后的公司Alliantist的创始人Mark Darby表示,领导者和企业开始认识到“无所事事不是一种选择”,但他们不确定该做什么,这有助于企业证明他们信息安全管理可以成为值得信赖的。
为什么要改变心意?达比指出,遭受破坏的风险和后果越来越大,这是主要原因。而且,由于这一点和GDPR这样的法规,更大的企业-供应链中的强大企业,可以向供应商指示他们做什么-正在寻求认可的认证。
“最简单的可能是Cyber Essentials,但这只是到目前为止,”达比说。“更聪明的企业希望看到物理安全以及网络安全和安全产品开发,而不仅仅是保护路由器等,更好,更受认可的是ISO 27001。”
这种接近安全的新方式仍在不断涌现,景观仍然分散和混乱。
“有人需要通过它开辟更多的楔子,以便让那些开始认识到他们有意识地无能力的企业更容易,而不是无意识地无能,”他继续道。
从无意识转变为有意识到积极主动
承认网络安全问题是第一步。然后是一个主动解决企业安全漏洞的案例。
拥抱Cyber Essentials是一个良好的开端,但正如Darby所暗示的那样,这还不够。
“希望英国国家网络安全中心(NCSC)和其他人会做的事情是,他们将开始围绕公认的标准,如ISO 27001,”他希望。“而不是所有这些企业都试图将自己的某些东西带出来,如果努力帮助跨越关键领域的企业,那将会好得多。
“我认为随着时间的推移,我们将朝着这个方向发展,但企业可以自己做的事情可能就是开始教育他们的供应链。”
保护供应链
整个供应链的失败是需要克服的最大安全障碍之一。
现在是企业接受Darby所谓的“负责任的客户,负责任的供应商计划”的时候了。
“让我们想象一下,你是一家大型银行,你有一个非常重要的供应链,而不是仅仅向供应链发送一份合同,表明你将符合ISO 27001,为什么不帮助他们呢?为什么不让他们具备这样做的能力呢?那么他们实际上是在供应链中建设能力和能力,并使供应链更具弹性?大型企业可以做很多事情来帮助规模较小,财富较少,经验较少的企业。“
协作是关键。它一直都是。但是,对于保持最佳实践或秘密工作方式的自然商业反应,它一直受挫。
现在,它采用更智能的工作方式,采用可帮助企业在供应链中上下移动的产品;找出风险,后果和机会在哪里,然后看看那个基础是否有人已经解决了这些问题,如果是,如何解决?
成本挑战
网络安全技能是一种稀缺商品。
而且,正因为如此,专家费用正在上升-这意味着它使小型企业无法承受安全问题;他们无法承担非常重要的咨询支持。
为了解决这个问题,Alliantist问:“我们如何编纂稀缺资源?我们如何开始使用自动化,机器学习等类似的东西并将其构建成产品,“Darby问道。
企业必须考虑不同的工作方式来巩固供应链。但是,至关重要的是,即使他们有钱,资源并不总是存在。
政府,企业,大学和其他教育机构正在开始解决人才短缺问题并建立未来的能力。但是,它目前还不完全存在。
制定信息安全战略
与大多数与技术相关的计划一样,安全性必须从最高层开始;“尤其是因为GDPR的威胁和风险以及有价值的知识产权的丢失是一个严重的问题,”达比说。
在今天的媒体第一环境中,违规丑闻和数据滥用是诅咒;可能使企业损失数百万或数十亿美元,具体取决于其市值。因此,股东和更广泛的利益相关者将受到真正的关注。
如果一个企业不被信任,那么它就不会出去赢得市场,也不会在战略上能够在它想要的领域成长-这是企业领导人的关键考虑因素。
Darby谈到自己在商业和战略方面的背景时说:“信息安全正在影响我的成长能力,所以我们必须进入并理解这一点,因为我们是一家提供软件服务的技术公司,为我们提供有价值的数据。顾客。
“任何代表另一个企业的数据处理器的人都需要证明他们可以信任,这是一个板级挑战。因此,如果你在一家大型银行或者你是一个小企业,这是一个重大的增长挑战。“
领导网络安全费用
在大企业中,首席执行官或董事会不太可能领导网络安全。
然而,鉴于该主题的重要性,这一责任将落在首席信息官,首席技术官或首席信息安全官的肩上-具有这种能力的人。
“在整个供应链中加入企业的战略层面,它影响到每个员工和每个供应商,高级管理层应该处理这个问题,”达比说。
“在大型企业中,您通常会遇到DPO,CISO,CTO,CIO或高级别人士,”他继续说道。“但是,在中小型企业中,你正在谈论所有者级别,创始人级别。
“这是一个棘手的挑战,你不能委托给最初级的人;它需要这种级别的领导和参与。
“即使使用像我们这样的工具来解决这个问题并不是一个昂贵的问题,但如果出现问题或者没有它就无法赢得这项新业务,这是一个非常昂贵的问题。”
ISMS.online背后的公司Alliantist是Tech Nation Cyber的一部分-这是英国首个针对网络安全领域的全国性扩展计划。它的目标是雄心勃勃的科技公司为增长做好准备。
发表评论 0条
发表
相关推荐