作为CEO如何实施产业安全

还记得以前的美好时光吗?那时，控制网络是独立的，只有工程师才能碰它。没有连接到企业网络或Internet。处理步骤

在那些日子里，网络攻击者乐于关注金融机构，而运营人员可以自由地继续制作产品。

好吧，那些日子已经不存在了。

主流媒体经常报道知名机构遭受灾难性网络攻击的故事。而且，工业也不能幸免。对制造商和能源供应商的攻击太频繁了。

确保工业应用的安全是不可避免的。随着工业物联网(IIoT)推动与更多设备、更多外部人员和系统的连接，保护控制网络比以往任何时候都更加困难。

挑战在于如何确保工业安全。特别是，IT、运营和高层管理等各个部门在确保您的设施受到保护并准备好在出现漏洞时采取行动方面扮演什么角色?

为了帮助解决这一挑战的一部分，让我们来看看如何与非技术高管就网络安全进行沟通。目标是使您成为组织中有效的网络安全领导者。

CEO视角下的安全性

为了与管理层就网络安全问题进行有效沟通，您需要从他们的角度考虑问题。两年前，US-CERT发布了一份文件，名为《ceo的网络安全问题》，至今仍引起人们的共鸣。以下是US-CERT建议首席执行官应该问的五大问题:

1. 我们的行政领导如何了解网络风险对我们公司的当前水平和业务影响?
2. 目前网络风险对我们公司的影响程度如何?我们有什么计划来解决已识别的风险?
3. 我们的网络安全计划如何应用行业标准和最佳实践?
4. 在正常的一周内，我们能检测到多少网络事件以及什么类型的网络事件?通知我们的行政领导的门槛是什么?
5. 我们的网络事件响应计划有多全面?多久测试一次?

网络风险管理概念

对于高管和董事会成员来说，网络安全是一个新的风险管理领域。以下是他们需要了解的关键网络风险管理概念，再次根据US-CERT:

将网络风险纳入现有的风险管理和治理流程。网络安全不是执行一份要求清单;而是将网络风险控制在可接受的水平。作为组织治理、风险管理和业务连续性实践的一部分，管理网络安全风险为整个企业提供了正确的战略框架。

将网络风险管理讨论提升至首席执行官。首席执行官参与定义风险战略和可接受的风险级别，使网络风险管理符合组织的业务需求，更具成本效益。首席执行官和那些负责管理网络风险的人之间的定期沟通，可以让他们意识到当前影响其组织和相关业务影响的风险。

实施行业标准和最佳实践;不要依赖于服从。全面的网络安全计划利用行业标准和最佳实践来保护系统并检测潜在问题。它还提供了了解当前威胁并实现及时响应和恢复的流程。合规要求有助于建立一个良好的网络安全基线，以解决已知的漏洞，但不能充分解决新的和动态的威胁，或对抗复杂的对手。使用基于风险的方法来应用网络安全标准和实践，可以比单独的合规活动更全面、更经济地管理网络风险。

评估和管理您组织的特定网络风险。识别网络威胁的关键资产和相关影响对于了解公司的具体风险敞口(无论是财务、竞争、声誉还是监管)至关重要。风险评估结果是确定具体保护措施并确定优先级、分配资源、为长期投资决策提供信息以及制定政策和战略以将网络风险管理到可接受的水平的关键输入。

提供监督和审查。高管负责管理和监督企业风险管理。网络监督活动包括对网络安全预算、IT收购计划、IT外包、云服务、事件报告、风险评估结果和顶层政策的定期评估。

开发和测试事件响应计划和程序。即使是防御良好的组织也会在某些时候遭遇网络事件。当网络防御最终被攻破时，首席执行官应该准备好回答:“我们的B计划是什么?”定期执行记录的网络事件响应计划有助于及时响应并将影响降至最低。

加强与高管的安全对话。Tripwire提供了改善与高管之间网络安全对话的其他工具。Tripwire最近被百登收购了。Tripwire有一些方便的网络扫盲工具，比如:

• 一本关于如何与高管和董事会成员沟通网络安全问题的工作手册。通过回答本工作手册中的问题并阅读其提示，您将能够从高管的角度介绍您现有的网络安全措施。本文档中的问题比US-CERT建议的问题更广泛，将有助于您进行彻底的准备。
• 一份白皮书解释了高管之间以及高管与IT之间在网络素养方面的差距。

-希瑟·麦肯齐(Heather MacKenzie)就职于贝尔登公司Tofino Security。本内容最初出现在ISSSource．由CFE Media数字项目经理Joy Chang编辑，jchang@cfemedia.com．

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。