应对不断变化的信息安全威胁

问题 1: 紧急事件

近年来,信息和网络安全一直是热门话题,但它曾一度被 IT 部门视为普通的软件问题处理。越来越多备受瞩目的攻击及其财务和声誉后果使这个问题逐渐被重视。

 

信息和网络安全有几种不同动机的威胁类型。最低级别攻击为只是为了“娱乐”的非破坏性攻击,数据破坏。除此之外,攻击还可以是直接向企业勒索现金、窃取客户信息(特别是可用于犯罪目的的财务信息)、商业或工业间谍、窃取专利和敏感信息,或者仅仅是竞争对手或心怀不满的员工的恶意攻击,目的是为了造成最大程度的破坏。最严重的攻击应为对提供如电力生产和分配、卫生、金融、物流或旅游服务等重要服务的组织进行攻击,威胁通常不是针对组织本身,而是针对公众或国家。

 

了解威胁是如何产生的,并开发体系来解决威胁,对任何组织来说都是一项重要任务。

 

问题 2: 信息安全威胁  

网络攻击很少是突然发起的,尽管它可能看起来就是这样。专家认为在攻击者达到最终目标之前有七个阶段。首先是对组织的侦察,这可能涉及用所谓的网络钓鱼电子邮件对个人进行渗透。黑客在获取公司人员和系统信息上花费的时间越多,黑客攻击就会越成功。

 

在此之后,黑客将试图使用各种手段渗透到目标网络中。在实施阶段,黑客开始获得在前期准备阶段所需要的信息并实施攻击。为了达成目标,攻击者需要在实现其目标所需的时间内持续访问网络。 

 

一旦黑客拥有对整个网络和管理账户的无限制访问权限,指挥和控制阶段所需的所有工具就都已准备完毕。此时,如果黑客愿意,他们可以将公司的 IT 用户从组织的整个网络中锁定,也许会要求赎金以恢复访问。最后的行动或目标阶段会使得黑客实现他们的任何攻击目标。

 

问题 3: 如今公司处于那种情形?

2021年,DNV 进行了一项调查,旨在调查组织认为自己信息体系的安全程度。2015年也进行了类似的调查,调查结果的差异很耐人寻味。

 

2015年至2021年信息安全变得越来越重要,企业董事会也对信息安全问题越来越重视。然而,在调查报告中显示,拥有成熟的或领先的信息安全体系的组织数量仅增加了约4个百分点,超过半数(55%)的组织仍认为自己处在信息安全体系成熟的早期阶段。 

 

三分之二的组织认为拥有适当的人员来管理信息安全是确保组织信息安全的最重要的因素。投资正在从技术转变为人员。在2021年的公司中,为员工提供信息安全培训的组织获得了更高评价。三分之二的组织表示未来三年信息安全投资水平将与今天持平或更高。

 

经认证的信息安全管理体系的公司对变化更加敏感,反应更加迅速。接近80%的组织表示,他们已经完全或部分地完成了调整过程以适应新的数字环境。这些组织似乎也更愿意接受“零信任”模式,这意味着他们不相信任何人,任何人都需要被验证。 

 

移动设备和创新技术被许多组织视为对网络安全具有很大影响也不足为奇。然而,人工智能尚未被视为改变规则的重要因素,只有15%的受访者认为人工智能可以发挥重要作用。

 

问题 4: 通过认证获得控制权 

采用结构化方法进行信息安全管理的组织,很可能已经获得了公认的国际标准的认证,或在认证中获得了良好收益。

 

认证表明了组织主动管理和保护信息资产并确保遵守法律要求的承诺。ISO/IEC 27001 是公认的信息安全管理体系的国际标准,旨在与其它 ISO 管理体系标准兼容和协调。 

 

随着网络威胁不断发展,ISO 标准也在不断修订。该标准的修订版(ISO/IEC 27001:2022)已于2022年10月25日发布。主要的变化与安全控制和指导有关,以帮助公司建立对其如何保护关键业务资产的信任。 

 

新版本对已获得认证公司的优势为:

  • 应对新情景与风险 
  • 助于了解其他安全观点 
  • 包含网络安全和隐私方面 
  • 包含新的控制措施,以确保不遗漏新的情景和风险 

 

问题 5: 持续改进  

信息安全管理体系(无论是否经过认证)的一个关键特征是对于最常见的风险以及不同行业可能遭遇的威胁的了解。这要求各组织了解不断变化的威胁形式,并调整和开发体系以应对、克服新挑战。定期的内外部审核将突出公司实际运作中的问题。然而,第三方认证提供了对管理体系绩效的独立评估,并在内部建立了对公司保护关键信息资产能力的信任。  

 

此外,维护管理体系及其认证是一个持续的过程。除了每年一次的强制性认证审核之外,DNV 客户还可以使用数字工具,对个人知识和管理体系绩效进行自我评估、基准绩效以及为内外部第三方审核做好准备。通过每天获取支持内容和洞察,公司可以更好地调整其风险状况,改进管理体系并衡量绩效。  

 

问题 6: 总结及要点

在当今的数字商业环境中,所有公司都面临不断增加的信息安全风险。公司意识到安全威胁可以很轻易地影响公司运营,网络安全越来越被重视就不足为奇了。组织必须管理当前的威胁并预防未来的风险,以建立利益相关者的信任,并尽量减少财务损失和中断的风险。  

 

网络攻击背后的攻击者不断地发展其方法和途径。因此,企业需要意识到问题是动态的,安全管理体系必须同步发展。信息安全管理是为了减轻短期风险,但也是建立长期弹性的必要条件。

  

根据 ISO/IEC 27001 的要求和指南,建立一个强健的结构化框架来识别、管理和降低风险,将推动持续改进并加强业务连续性。管理体系的实施必须符合标准要求才可以获得认证。 

 

作为经认可的第三方认证机构,DNV 可以成为您整个旅途的合作伙伴。从标准相关的培训到自我评估、标杆管理和审核准备工具到差距分析和实际认证审核,我们的技术专家致力于支持您的整个旅程。