编者按: 的 国际刑警组织“网络安全指挥课程2024”为期五天,ISACA中国香港分会应香港警务处邀请,就“网络指挥官在加强网络安全管治中的作用”进行专题讨论.ISACA小组成员包括分会主席何汝仁(均富会计师事务所副执行合伙人), Freeman Ng (Chapter Director of Program; Co-founder & 系统保安有限公司首席顾问), Maverick Tam (Chapter Director of Certification; Chief Risk Officer at 香港 Interbank Clearing Limited) and was moderated by 韦兰楚 (Chapter Secretary & Vice President of Certification; Alliance Director, APAC of Thales). ISACA团队与来自不同国家/司法管辖区的执法机构进行了交流, 包括阿塞拜疆, 巴林, 中国, 香港, 韩国, 澳门, 摩洛哥, 荷兰, 新加坡和泰国. 以下是小组讨论的摘要:
韦兰: 网络安全威胁在所有社会都很普遍. 这对公众构成重大风险,并可能影响国家安全. 专家小组将分享如何建立和持续加强网络安全治理的想法. 他们的见解将使观众能够更好地应对网络攻击, 尤其是在不断变化的时代中.
新出现的威胁是什么?
尤金: 国际刑警组织和ISACA等组织一直在跟踪网络安全风险的趋势. 例如, 早在2019年,当世界被COVID大流行打乱时, 这些组织预测,包括勒索软件攻击在内的恶意活动将会增加, 随着越来越多的工作负载由组织和个人远程管理. 而勒索软件攻击仍将突出, 来自世界经济论坛等知名组织的最新调查, 高德纳和弗雷斯特强调了几个将影响我们社会的网络安全风险.
弗里曼: 地缘政治紧张局势和政治竞争加剧可能加剧对关键基础设施和供应链的攻击. 越来越多地使用人工智能带来了额外的风险,因为它可以被安全专业人员和犯罪分子利用. 人工智能可以帮助进行欺诈检测,但也可以通过深度造假和隐形的人工智能恶意软件实现社会工程. 实际上,人工智能正在加速安全军备竞赛.
特立独行: 作为关键基础设施运营商之一,我们有意识地监控网络安全趋势. 我们观察到的其他风险包括与云计算等新兴技术相关的风险, 供应链, 法规遵从性, 等.
作为这些技术的用户, 值得注意的是,虽然我们依赖第三方提供商使用他们的产品和服务, 我们对自己的控制和行为承担最终责任. 换句话说,责任不能外包.
说服董事会和高级管理层投资网络安全的有效方法是什么?
尤金: 经常听到公共和私营部门的组织说他们负担不起网络安全——除非他们被黑客攻击. 为了获得董事会的支持,从他们的角度考虑网络安全问题至关重要. 大多数董事会和高级管理团队倾向于优先考虑底线和声誉. 通过这些视角来解决网络安全问题是有效的:
直接业务影响: 考虑财务、运营、法律和声誉方面的后果.
公司估值:例如, 在2017年雅虎出售期间, 由于数据泄露,Verizon降低了3.5亿美元的出价.
股价下跌: 最近的一份报告显示,上市公司的股价平均下跌了7%.数据泄露后,他们的股价下跌了5%,加上平均市值损失了5美元.40亿年.
客户关系受损: 另一份报告显示,数据泄露后,21%的消费者可能会停止使用受影响的公司.
个人责任: 在一些司法管辖区, 比如韩国, 新加坡和美国, 管理层可能会对网络安全问题上的疏忽负责.
导致安全漏洞的常见原因是什么?
弗里曼: 应对竞争优先事项带来的挑战, 复杂性和有限的意识和技能需要一种战略方法. 找出根本原因至关重要. 组织可以通过有针对性的改进来增强其网络安全态势:
- 治理和风险管理: 加强政策、问责制和风险评估框架
- 培训和认证: 为员工提供必要的知识和技能,以应对不断变化的威胁
通过解决这些基本要素, 澳门赌场官方下载可以主动保护自己的数字资产,并在不断变化的环境中保持弹性.
什么是治理,网络指挥官的角色和责任如何促进网络安全治理?
特立独行: 参考 COBIT框架, 良好的治理有助于使公司的行动与其目标保持一致, 管理风险,提高操作的有效性和效率. 网络指挥官在保护国家关键基础设施方面发挥着关键作用. 他们把, 同意并分享目标,以确保所有行动都能达到预期的结果, 通过定期审查进行调整. 他们的任务是发展, 实现, 更新安全策略以防止未经授权的访问, 盗窃和损坏. 组织结构由三道防线加强.
Risk management is crucial; cyber commanders identify risks and develop mitigation strategies while adhering to international standards like PCI-DSS and IEC 62443, 以及当地的网络安全法律法规.
安全运营管理包括监控, 事件响应和漏洞管理,以有效地执行安全策略. 人为因素被认为是网络安全事件的一个重要来源. 与不同部门的利益相关者进行协作,可确保安全协议具有全面性和适应性.
网络指挥官还领导安全意识培训项目,教育关键基础设施运营商的员工和公众保护敏感信息免受网络威胁的最佳实践. 通过调整合适的人员来确保运营的有效性, 技术和流程,同时不断审查预算,以有效地优化资源.
在预算方面,最近的研究表明,安全占据了IT预算的5%-25%. 这是一个相当广泛的范围, 在启动阶段和受监管的行业,风险较高,当组织稳定并获得更好的网络安全状态时,风险较低.
加强网络安全治理有哪些切实可行的途径?
弗里曼: 可以通过关注以下几个关键领域来加强网络安全治理:
文化: 重点是建立精英团队来防御和保护. 他们在法律和私隐条例的范围内运作.
风险管理: 识别和管理国家IT/OT基础设施的风险是关键组成部分, 以及相关的法规和标准.
结构: 组织设置包括网络指挥官等角色, 团队领导, 网络犯罪分析师, 情报分析人员, 调查人员和数字法医. 使用人才指标来确保一个健全的人才管道.
能力建设: 技术融合和全球伙伴关系是重点关注的领域. 利用标准——例如,USCYBERCOM制定了联合网络工具包标准(例如.g.可部署任务保障系统(DMSS). 公共/私营部门合作可增强集体复原力.
专业化与创新: 结合人工智能、大数据和暗网关键词搜索. 威胁情报图表(人工智能驱动的类似于马耳他的工具)被用来帮助行动/任务小组. 自适应蜜罐吸引和分析恶意软件.
教育培训: 利用大学和教育机构作为人才管道. 持久网络培训环境(PCTE)提供灵活的在线培训. 竞争和挑战可以促进团队间的合作.
ISACA有什么帮助?
特立独行: ISACA提供 认证范围 以及数字取证等网络安全课程, 渗透测试, 威胁狩猎, 漏洞识别与分析, 和审计. 这些认证和课程可以帮助执法机构和关键基础设施发展对网络安全的深刻理解和熟练程度. 通过完成相关认证项目, 执法机构和关键基础设施的官员可以深入了解构建和定义网络安全的数据和技术原则, 它的语言, 网络安全专业人员在保护澳门赌场官方下载数据和基础设施方面发挥着不可或缺的作用. 这些知识可以帮助组织更好地了解威胁情况,并制定更有效的安全策略.
最终的想法?
尤金: 我们应该永远记住,我们是人类, 我们比任何技术都更有智慧和创造力. 然而, 我们还应该利用技术来帮助我们进入以前无法进入的领域. 通过降低网络安全风险, 我们希望社会能够受益于先进的技术和人类的潜力,创造一个更加和平的世界.
弗里曼: 网络安全治理决定着网络防御的未来. 网络指挥团队的文化, 风险管理, 法律遵守和结构构成了网络安全工作的支柱. 创新、能力建设和全球伙伴关系引领着网络安全的动态世界. 利用人工智能、大数据和先进工具,同时优先考虑继续澳门赌场官方软件. 网络司令部是这个综合体的先锋, 不断发展的网络空间, 勇往直前,勇于创新.
特立独行: 网络司令部与工业界密切合作, 比如威胁情报和信息共享, 以及联合网络反应演习, 提高对网络威胁的整体准备是否至关重要.
