隨著技術的不斷發展，網絡威脅的復雜性不斷增加。網絡威脅影響各種規模的企業，需要老板們(CEO)和其他高級領導者的關注和參與。為了幫助公司了解他們的風險并為網絡威脅做好準備，老板們應與其領導討論關鍵的網絡安全風險管理主題，并實施網絡安全優秀實踐。

本文檔中列出的優秀實踐是從事件響應活動和網絡風險管理中吸取的經驗教訓匯編而成的。

老板們應該了解公司面臨的網絡安全威脅嗎?

老板們應該就潛在的網絡安全威脅提出以下問題：

• 網絡安全威脅如何影響企業的不同職能，包括供應鏈、公共關系、財務和人力資源等領域?
• 哪些類型的關鍵信息可能會丟失(例如，商業機密、客戶數據、研究、個人身份信息)?
• 我的企業如何建立長期彈性以最大限度地降低網絡安全風險?
• 我的企業參與了什么樣的網絡威脅信息共享?我的企業與誰交換這些信息?
• 我的企業可以采用哪些類型的信息共享實踐來幫助在企業所屬的不同網絡安全團體之間建立社區?

老板們可以采取哪些措施來緩解網絡安全威脅?

以下問題將幫助 老板們指導與管理層討論網絡安全風險：

• 將網絡安全威脅通知行政領導層的門檻是多少?
• 公司目前的網絡安全風險水平如何?
• 目前的網絡安全風險水平對公司的業務可能產生哪些影響?
• 有什么計劃來應對已識別的風險?
• 員工可以獲得哪些網絡安全培訓?
• 采取了哪些措施來減輕內部威脅?
• 網絡安全計劃如何應用行業標準和最佳實踐?
• 網絡安全計劃指標是否可衡量且有意義?
• 網絡安全事件響應計劃以及業務連續性和災難恢復計劃有多全面?
• 多久執行一次計劃?
• 計劃是包含整個公司還是僅限于信息技術 (IT)?
• 企業是否準備好與聯邦、州和地方政府網絡事件響應者和調查人員以及合同響應者和供應商社區合作?(這塊在國內考慮網信、公安、保密等監管部門建立協調機制)？

推薦的組織網絡安全優秀實踐

下面列出的網絡安全最佳實踐可以幫助組織管理網絡安全風險。

(1) 將網絡安全風險管理討論提升至公司老板們和領導團隊。

• 高管應自上而下制定政策，以確保每個人都有權執行與其在降低網絡安全風險方面的角色相關的任務。自上而下的策略定義角色并限制可能損害 IT 安全的權力斗爭。

• 老板們和公司高級領導層參與定義組織的風險戰略和可接受的風險水平對于全面的網絡安全風險計劃至關重要。在首席信息安全官、首席信息官和整個領導團隊的協助下，公司老板們應該確保知道他們的部門如何影響公司的整體網絡風險。此外，與公司董事會就這些風險決策進行定期討論可確保所有公司決策者都能看到。

(2) 實施行業標準和最佳實踐，而不是僅僅依賴合規性標準或認證。

• 通過實施行業基準和最佳實踐(例如，遵循互聯網安全中心等組織的最佳實踐)來降低網絡安全風險。組織應定制最佳實踐，以確保它們與其特定用例相關。

• 遵循一致的最佳實踐來建立預期企業網絡行為的組織基線。這使組織能夠主動應對網絡安全威脅，而不是花費資源來“滅火”。

• 合規標準和法規(例如，聯邦信息安全現代化法案)提供了最低要求的指導;然而，還有更多的企業可以做來超越要求。

(3) 評估和管理特定于組織的網絡安全風險。

• 確定組織的關鍵資產以及網絡安全威脅對這些資產的相關影響，以了解組織的特定風險敞口——無論是財務、競爭、聲譽還是監管。風險評估結果是確定和優先考慮特定保護措施、分配資源、為長期投資提供信息以及制定管理網絡安全風險的政策和戰略的關鍵輸入。

• 提出必要的問題，以了解安全規劃、運營和安全相關目標。例如，最好通過實施整體安全控制而不是詢問特定的安全控制、保護措施和對策來關注組織將實現的目標。

• 將網絡企業風險討論集中在“假設”情況上，抵制“這里不可能發生”的思維模式。

• 創建一個可重復的流程，對員工進行交叉培訓，將風險和事件管理作為一種制度實踐。通常，只有少數員工在關鍵領域具有主題專業知識。

(4) 確保網絡安全風險指標有意義且可衡量。

• 一個有用指標的示例是組織修補整個企業的關鍵漏洞所需的時間。在這個例子中，減少修補漏洞所需的天數直接降低了組織的風險。

• 一個不太有用的指標的示例是安全運營中心 (SOC) 在一周內收到的警報數量。SOC 接收到的警報數量變量太多，無法始終保持相關性。

(5) 為事件響應、業務連續性和災難恢復制定和實施網絡安全計劃和程序。

• 組織在整個組織中測試其事件響應計劃至關重要，而不僅僅是在 IT 環境中。組織的每個部分都應該知道如何應對基本和大規模的網絡安全事件。測試事件響應計劃和程序有助于防止事件升級。

• 事件響應計劃應提供有關何時將事件提升到下一級領導層的指示。定期執行事件響應計劃使組織能夠快速響應事件并將影響降至最低。

(6) 留住高素質的勞動力。

• 網絡安全工具的好壞取決于查看工具結果的人。擁有能夠為組織確定合適工具的人員也很重要。學習復雜組織的企業網絡可能需要大量時間，因此留住技術人員與獲取他們一樣重要。阻止所有網絡安全威脅沒有完美的答案，但知識淵博的 IT 人員對于降低網絡安全風險至關重要。

• 新的網絡安全威脅不斷出現。受托檢測網絡安全威脅的人員需要持續培訓。培訓增加了人員檢測網絡安全威脅并以符合行業最佳實踐的方式應對威脅的可能性。

• 確保有適當的計劃來解決與減輕網絡安全風險相關的額外工作量。

• 網絡安全正在成為一門以任務為導向的正式學科，需要與關鍵知識、技能和能力保持特定的一致性。在國內首創的網絡安全職業和研究(NICCS)是人力資源規劃的有用資源。

(7) 保持對網絡安全威脅的態勢感知。

• 訂閱有關新興網絡安全威脅的通知(例如，國家網絡意識系統產品、MITRE 常見漏洞暴露、CERT 協調中心漏洞說明)。如果可能，創建一份關于組織最近面臨的網絡安全威脅(例如，網絡釣魚電子郵件、惡意軟件、勒索軟件)的摘要，以分發給 IT 部門以外的人員，以幫助加強他們在降低網絡安全風險方面的作用。

• 探索可用的興趣社區。這些可能包括特定部門的信息共享和分析中心、國土信息共享網絡或其他政府和情報計劃。