前面，我們?根據英國NCSC簡單介紹了，關于網絡安全，領導層應該了解什么，后來我們有分享了領導層應該怎么做，今天結合這部分內容，我們看看英國安全專家對網絡安全策略的看法。

關于網絡安全，領導層應該怎么做？

將網絡安全集成到組織的目標和風險中，如此重要有兩個原因。

首先，網絡安全會影響組織的各個方面。因此，為了正確管理網絡安全，必須被整合到組織風險管理和決策中。例如：

• 運營風險可能會受到網絡安全的支持，因為依賴于于使用的數字服務（電子郵件服務、定制軟件等）的安全性。
• 一些法律風險將與網絡安全風險聯系在一起（例如保護數據或合作伙伴關系的合同要求，以特定方式處理數據的監管要求）。
• 財務風險受到網絡安全的影響（例如，通過網絡實施的欺詐造成的資金損失，以及服務因網絡攻擊而脫機時的收入損失）。
• 良好的網絡安全還將允許您在使用新技術進行創新時承擔一些風險。過于謹慎的風險處理方法可能導致錯失商機或額外的（和不必要的）成本。

其次，網絡安全需要整合才能成功。良好的網絡安全不僅僅是擁有良好的技術，而是人們與安全部門建立良好的關系，并在整個組織中建立正確的流程來管理它。

例如，為了防止攻擊者訪問敏感數據（同時確保只有具有當前有效要求的人才能看到它），您將需要：

• 存儲數據的良好技術解決方案
• 對處理數據的員工進行適當的培訓
• 圍繞管理員工流動的流程，與訪問管理保持一致

在結構中反映注意內容：

網絡安全是整個領導層的責任，不要把網絡安全留給一個人。

網絡安全事件將影響整個組織的重要事件，不僅僅是IT部門的重要事件。例如，可能會影響在線銷售，影響合同關系或導致法律或監管行動。領導層內部應有足夠的專業知識，以便為網絡安全戰略提供指導，并將決策追究責任。然而，領導層的每個成員都需要足夠的專業知識來了解它如何影響他們的重點領域，并了解對整個組織的廣泛影響。

英國境外的網絡安全：在嘗試了解網絡安全對組織的影響和風險時，一個重要的考慮因素是組織在哪個國家/地區運營。對于那些在英國境外運營或在英國境外擁有合作伙伴的組織，CPNI智能業務指南強調了這可能如何影響安全考慮因素，包括網絡安全。本工具包的“與供應商和合作伙伴協作”部分提供了有關如何緩解與這些關系相關的網絡安全風險的指導。

與專家互動

考慮報告結構是否使領導層能夠參與其所需的網絡安全。如果CISO向領導層報告的中介機構只關注一個方面，無論是財務還是法律或技術-這可能會阻礙領導層看到網絡安全更廣泛影響的能力。現在在大多數組織中，CISO直接向領導層報告。

改善組織中網絡安全的一個好起點是考慮專家與領導層成員之間的溝通。獲得正確的結構可能會有所幫助，但我們也經常看到雙方都不愿意參與，因為：

• 技術人員認為領導層不會理解他們（屬于臆測）
• 領導層認為技術人員無法在組織戰略目標的背景下解釋問題（同樣屬于臆測）

改善這兩個群體之間的溝通需要雙方的努力：

• 領導層需要對網絡安全有足夠深入的了解，才能了解網絡安全如何支持其整體組織目標
• 技術人員需要認識到網絡風險的溝通是他們工作的核心組成部分，并確保他們了解自己在促進組織目標方面的作用。

五月份，網絡安全解決方案公司Crossword Cybersecurity Plc發布了一份新 報告 ，表明英國公司越來越擔心網絡攻擊。在對 200 多名 CISO 和高級網絡安全專業人士的調查中，40% 的受訪者表示，他們目前的網絡安全戰略可能在短短兩年內就會過時。另有 37% 的人表示這將在三年內發生。

不斷增加的網絡攻擊數量加上不斷的技術創新意味著公司必須不斷更新其網絡安全戰略。超過五分之三 (61.4%) 的參與者表示自己對阻止網絡攻擊的能力“相當有信心”。 

為了跟上網絡攻擊的風險，公司需要在網絡安全解決方案上投入更多資金。考慮到這一點，只有 44% 的受訪者表示他們擁有必要的手段來保護他們的組織免受近期和中期風險以及技術趨勢的影響。公司迫切需要制定網絡安全戰略以減輕長期威脅。

“董事會必須確保首席信息安全官有必要的預算來控制短期問題，然后開始規劃長期的業務范圍戰略。這樣的戰略應該得到標準運營模型的支持，該模型為公司的整個供應鏈提供強大的流程和政策。Crossword Cybersecurity plc 集團董事總經理 Stuart Jubb 在新聞稿中表示，每個月的延遲都會使企業面臨潛在的嚴重網絡攻擊。

根據 Crossword 的說法，未來五年需要采取更具戰術性的方法。當前的網絡安全戰略過于脆弱，必須通過綜合解決方案加以加強。此外，縮小技能差距應該是重中之重，這意味著必須分配資源來雇用頂尖人才或培訓現有員工。 

Jubb 爭辯道：“管理日常風險是一項艱難的平衡行動，但如果首席信息安全官有合適的資源來提升他們的團隊和工具的技能，利用人工智能帶來效率和自動化，以幫助保護他們的組織及其供應鏈免受當今的威脅”。

貨幣，進入網絡安全行業的門檻太高了。公司應該從更多元化的人才庫中招募人才，并聘請認知心理學家、變革經理和業務專家以及其他與游戲相關的專業人士。只關注那些擁有技術技能的人不會提供競爭優勢。

目前，網絡安全專家認為公司主要關注短期優先事項，即軟件驗證和勒索軟件攻擊。在接下來的 12 個月中，四分之三的受訪者表示軟件驗證將是一個關鍵焦點，而 69% 的受訪者表示他們將過渡到云。此外，三分之二 (67%) 的參與者表示他們將專注于應對勒索軟件攻擊的威脅。 

倫敦大學城市網絡安全研究所所長兼安全工程教授 Muttukrishnan Rajarajan 表示：“解決勒索軟件是研究領域的一個巨大關注領域，因此我對這項調查中的高分并不感到驚訝。在新聞稿中，我們經?常被委托從事僅關注這一點的項目——對一家中小企業的攻擊可能會導致整個供應鏈陷入停頓，正如我們最近通過 Log4J 代碼庫引入的漏洞所看到的那樣。” 

解決這些直接威脅是不夠的。為了開發一種更強大的網絡安全方法，Crossword 建議利用員工的不同見解，無論是通過研討會還是集思廣益的風險和相應的解決方案的整個景觀。

這里，我們其實就明白了，為何我們的等級保護測評需要每年開展，風險評估要定期開展。因為網絡安全這事，沒有一勞永逸的事情，而我們的網絡安全策略其實是非常容易過時的，加之我們人人都有惰性，往往喜歡“簡單”的事情，也為攻擊者降低了攻擊難度。所以，我們不是圣人，還得"時時勤拂拭，勿使惹塵埃",畢竟我們常常使他惹塵埃。