有效的网络安全需要合规和奉献

当涉及到合规问题时，企业很容易陷入遵守法律条文而不是法律精神的陷阱。将监管要求提炼成一份必须做的事情的清单，这是一种很好的、实践良好的艺术，但它可能忽略了立法存在的首要原因。

在与技术和网络安全相关的领域尤其如此，在这些领域，法规的编写是有意为之的，旨在前瞻性地鼓励最佳行为，而不是规定性和基于规则的。

欧盟关于网络和信息系统安全的指令(NIS指令)等法规并没有以绝对的术语列出组织为了合规必须实施的技术配置，而是故意使用灵活的语言，对这一点的解释可以与它寻求监管的技术同步发展。例如，这里提到的是“最先进的”技术，而不是要实现的具体技术。

NIS指令是世界各地涌现的旨在提高应用网络安全能力整体水平的众多法律和指令之一，在这种情况下，特别是在数字服务提供商和运营技术(OT)领域，包括基本服务运营商。正如几家国家监管机构反复强调的那样，这一原则不是向企业提供一个不可能实现的合规目标，而是鼓励对安全进行持续投资，认为这是正确的事情——当合规只是为了合规而实现的目标时，这一点就失去了。

合规安全错误

从商业角度来看，认为网络安全政策的目的是满足法规的态度在三个关键层面上是错误的。

首先，完全有可能是合规的，但不安全——没有任何立法可以完全防御犯罪分子和不良行为者手中不断发展的工具。另一方面，投资于不断测试当前系统、评估新技术和实施改进的良好网络安全实践，对于满足——而且往往超过——监管机构的要求大有帮助。政策和实践验证是相辅相成的，但只有一个而没有另一个并不是前进的方向。

其次，在不提高安全性的情况下投资遵从性，对组织声誉的损害可能大于它的好处。虽然合规性(可能得到认证的支持)通常是客户或利益相关者的要求，但改善网络安全的整体投资被视为公司的额外成本。通常情况下，这些投资不会立即产生效果，这意味着说服管理层投资网络安全本身就是一个挑战。

然而，如果发生了安全事件，并显示公司未能采取必要的安全措施，尽管声称遵守法律，业务合作伙伴将变得谨慎。该组织在实施网络安全政策时是否“偷工减料”?如果这是该公司的态度，那么它还能在哪里采取类似的偷工减料?供应链正受到更严格的审查:商业伙伴不仅开始要求相关认证，还开始要求全面的网络安全审计和政策。

将合规作为目标的第三个原因是，并非每个行业都有强有力的监管。这意味着组织的一部分可能受网络安全法律管辖，但另一部分可能不受网络安全法律管辖。只关注合规性可能会导致错过可以在全公司范围内应用的更有效的安全措施。然而，合规性通常意味着关键系统能够快速从任何事件中恢复，无论是硬件故障还是其他与网络安全无关的威胁。

最佳安全实践

合规要求对于与董事会就网络安全政策和计划展开对话至关重要。它们提供了一个强有力的理由，说明必须进行投资。但任何组织的总体目标都应该是将风险保持在合理可行的范围内。这将意味着实施明智的、具有成本效益的安全措施;没有从头到尾完成清单。

安妮Klebsch是ICS安全顾问应用风险．本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。