【原】看老外如何为网络安全合规时代做好准备

祺印说信安 2024-03-25 发布于河南

展开全文

作为网络安全专业人士，我们经常谈论风险。在这个世界上，只有最天真的人才会认为我们可以防止所有网络攻击，我们必须确保了解哪些网络威胁成为现实的风险最高，并相应地分配我们的安全资源。事实上，这是威胁情报平台的一个关键用例，它可以帮助公司识别和理解其业务背景下的威胁。在我们的超连接技术环境中，如果每个人都有效地做到这一点，网络安全标准将会提高，集体风险将会降低。

然而，不同公司、行业和国家之间的网络安全性能差异很大，这可能会导致网络风险不受控制。当涉及到提供关键国家基础设施、金融和医疗保健以及现代社会所依赖的所有其他部门的组织的数字网络时，这一点尤其成问题。当网络攻击有可能对生命造成重大威胁并扰乱社会稳定时，风险就不容忽视。

解决网络风险的紧迫性已经引起各国政府和国际当局的关注，监管也随之而来。

风险上升加剧网络安全监管

未来十二个月将实施多项旨在提高各行业网络安全标准的法规。其中许多还要求范围内的公司为其供应链中关键实体的网络安全性能提供保证。

其中两项法规涵盖欧盟-NIS2指令涵盖关键行业的公司及其供应链，而密切相关的数字运营弹性法案( DORA) 涵盖金融机构及其ICT供应商。然而，尽管供应链公司起源于欧盟，但将供应链公司纳入这些法规意味着它们的影响将波及欧洲境外。这两项指令都对基于风险管理的网络安全方法提出了严格要求，并要求及时报告事件。在这方面，他们呼应了SEC 最近通过的规则， “要求注册人披露重大网络安全事件，并每年披露有关其网络安全风险管理策略的重要信息。”

网络安全责任达到新高度

这些新法规的不同之处在于问责程度以及在不遵守规定的情况下向当局提供的执行权力。

过去，法规被批评缺乏“牙齿”，但现在有一个明确的举措，将网络安全责任分配到IT部门的传统领域之外。主持不合规网络安全计划的高级领导者现在面临着暂时禁止在其企业内执行管理职能的情况。他们还可能被公开点名，并可能因网络安全失误而承担法律责任。再加上对违规行为可能征收的数百万美元罚款，使得网络安全有效性和保证成为董事会层面的关注点。

以前也经历过类似的情况。2000年代初，当公司丑闻震动金融业时，2002年《萨班斯-奥克斯利法案》出台，以恢复信任并改善财务责任。其第302条规定要求公司高级管理人员提供书面证明，证明公司的财务报表符合SEC的披露要求。签署明知虚假声明的董事将面临刑事处罚。

根据NIS2，重要实体的管理机构必须“批准其组织为遵守该指令而采取的网络安全风险管理措施”。他们必须监督其实施，并“可能对侵权行为承担责任”。监管机构希望这能产生类似SOX的效果。

将合规性要求与运营要求联系起来的挑战

尽管目标是加强最高层的问责制，但让所有参与实现合规性的不同利益相关者保持一致似乎仍存在挑战。迄今为止，我们的经验是，这些法规的多学科性质导致了领导应对措施的责任归属的不确定性。我们与CISO进行了交谈，他们敏锐地意识到这些法规将影响他们的网络安全计划，但正在努力从负责设定组织风险承受水平的治理、风险和合规 (GRC) 团队中获得领导。相比之下，一些SecOps团队告诉我们，尽管法规规定了安全实践和所需的最低性能水平，但法规遵从性不是他们的责任。

成功的合规性需要CISO和运营团队与风险和合规专家密切合作，采取多方面的方法，以充分了解网络安全风险以及可以补救的工具。这是CISO 和安全团队在董事会和法律团队中建立良好形象的绝佳机会，因为他们设计的计划能够提供与风险相称的有效网络安全，并提供管理机构所需的保证。

为网络安全法规合规性做好准备——采取威胁情报知情的方法

当高层领导寻求网络安全计划有效性的保证并致力于管理网络风险时，威胁情报可以发挥核心作用。

通过在业务环境中收集、整理威胁情报并确定其优先级，决策者可以更好地了解风险所在以及如何管理风险。这会带来更好的资源分配和更强的防御态势。

事件响应是 NIS2 和 DORA 的另一个监管重点领域。公司必须在短短 24 小时内报告重大事件，包括尽可能多的有关事件的信息。随后必须发布后续报告，详细说明危害指标、严重性和可能的影响。在这里，威胁情报收集对于确保这些报告的准确性至关重要。通过威胁情报平台实现的网络安全自动化可以在事件响应的自动化方面发挥重要作用，例如为相关当局设置通知以及支持调查和证据收集活动。

近期法规的另一个共同特点是注重信息共享和协作。当当局寻求加强打击恶意行为者的集体力量时，他们认识到汇集威胁信息的重要性。越多的组织利用威胁情报，就会进行越多的分析。

当企业、行业和当局之间共享这种分析时，有助于提高能力和意识，从而实现监管机构的目标。

为什么应该积极思考网络安全合规性

预计这些法规将引起人们对网络安全风险管理的更多关注。而且，鉴于网络攻击的无国界性质，我相信监管将以类似的方式跨越国界。网络安全是每个人的责任，这些法规的结构反映了这一点。

然而，不应该像企业部门看待《萨班斯-奥克斯利法案》那样，对合规负担给予同样的关注。我们拥有工具和分析能力，能够获得对网络安全风险和性能的良好可见性，并且实施有效的网络安全计划是一项关键业务优势，而不仅仅是合规性活动。当进入网络安全合规时代时，应该以积极的心态来这样做，这将有助于这些法规实现其目标，造福和保护我们所有人。

—END—