数字化时代下的网络安全战略框架 了解您的网络安全成熟度 数字化时代下的网络安全挑战 面对来势汹汹的数字化变革,企业在聚焦数字化技术的同时,也 在面对着数字和信息带来的威胁。不断变化的威胁形势以及网络 攻击手段,使企业面对网络安全风险信心不足。如果没有充分了 解网络威胁趋势,加上企业日益复杂的网络架构,企业负责保护 的数字资产的快速变化会降低安全保护能力。对外而言,如果企 业本身的安全意识和能力无法及时响应业务合作伙伴需求,总是 不断被动应对业务发展带来的风险,则会逐渐在行业中失去重要 战略地位。 调查显示,在2019年约有59%的企业发生了重大安全事件,其中 个人信息和重要数据泄露风险尤其严峻。2019上半年国家互联网 应急中心协调处置网络安全事件约4.9万起,全年的漏洞总数为 24160个,计算机恶意程序传播次数日均达约998万次。另外因 个人隐私与信息泄露,Facebook、Equifax、英国航空和万豪国 际四家企业,罚款金额将近90亿美元,超过国内整个网络安全产 业的市场规模。 所以,一个强大的网络安全风险计划有助于推动业务增长,保护 企业价值,并帮助企业应对网络安全威胁,也会使企业在威胁荆 棘丛生的数字化环境中立于主动之地,把握时代机遇。 CSF:一个全面的网络安全战略框架 德勤网络安全战略框架(CSF)是一种以业务为导向、基于威胁 管理网络安全战略的平台。 CSF是德勤在网络安全战略方面进行 了四年多的研究和投资的结果,并且采用了成熟的方法来确定企 业网络安全的当前能力和目标成熟度,并提出了改进企业内部和 整体网络安全弹性的建议。 我们的网络安全战略框架与包括ISO,NIST和SANS等在内的各 种行业标准保持一致,其中包含三个主要维度:业务,威胁和能 力。我们认为,只有综合考虑这些维度,才能了解保护(业务) 所需的内容以及他们面临不同威胁的风险程度,从而就如何在网 络安全进行投资做出明智的战略决策。 我们会利用CSF框架评估企业的独特情况和能力。对于这些能力 中的每一项,我们都会定义其当前和目标的安全级别并分析差 距。目前有上百家企业评估结果为我们的数据库提供分析数据, 所以您可以利用CSF基线,了解企业的网络安全成熟度水平以及 行业对标情况。另外,在这个多功能的在线平台上,评估可以基 于不同内容包进行,评估结果通过自动演算以制定完善的网络安 全策略。 如何了解网络安全成熟度 对于企业而言,网络安全风险要及时识别并积极采取措施,另外 更需要认识到企业自身安全能力,并参考网络安全的行业领先实 践,这样才能适应严格的法律合规要求,快速迭代的业务模式和 应对行业竞争格局的威胁。了解企业当前网络安全成熟度,可以 帮企业识别当前安全能力的强弱,确定正确的优先事项,优化网 络安全投资的价值。在能力很强的领域,企业可适当减少投资力 1/3 度;相反,在能力较低领域,企业应立即采取对应措施,及时补 齐短板,以应对未知的网络安全风险。 CSF作为一个成熟的网络安全战略框架,得益于如下几个方面: 能力模型 德勤网络安全能力模型引用了多个行业标准,如FFIEC、ISO/IEC 27001/2、NIST网络安全框架、GDPR、SANS 20关键安全控制 和工控安全等。 最新版本的CSF平台具备创建自定义内容包的功能,可以实现在 CSF平台内评估其他标准和适应本地监管合规要求。这样,我们 能够为客户提供当地符合标准或法规甚至内部定制框架的评估。 威胁评估模型 默认情况下,我们的威胁评估模型基于MITRE通用攻击模式枚举 和分类(CAPEC)模型。该模型包含基于威胁攻击者和威胁技术 的通用分类法,可用于对企业最相关的威胁进行建模,并根据其 固有的可能性和影响确定企业的安全风险。 基线数据 内容包还提供对基线数据的使用权限 - 使企业能够将网络安全能 力成熟度与特定地区,行业或部门或具有类似收入或员工人数的 企业的平均成熟度进行比较。 这种比较可以在网络安全战略框架平台中以可视化的方式展示。 平台的基线数据库中包含特定的行业和部门数据,企业可通过各 种维度,进行各类基线的成熟度比较。 案例分析 某企业需要了解企业当前的安全能力是否能为业务提供足够的保 障,高管们对于网络安全能力的评估有着很大的困惑:什么样的 方法论可以全面覆盖网络安全的领域,并且同时能跟踪快速迭代 的安全领域和技术;什么样的手段可以处理大量数据,提供精确 的数据收集与分析功能。传统的评估项目可能需要很大的人力物 力,当下的业务和技术每天都在产生着大量的数据,手工处理避 免不了计算及统计失误,并且最终的结果可能需要阅读大量的文 字,而不是直观的、可视化数据图形。 这时,CIO想起了前段时间公司举行的关于“数字化网络安全战 略框架”宣讲会,其中介绍的CSF网络安全战略框架正好可以解 决正在面临的困境:CSF平台会紧跟网络安全行业发展趋势,及 时更新数据库,并且涵盖整个网络安全建设的各个方面。另外后 续的系统自动化评分功能,也正好解决了要处理大量数据的问 题,大大提高了工作效率与准确度。 比如:针对已评估的安全领域,提供可视化网络恢复能力(或成 熟度)图表。这使用户能够识别最需要投资的项目,以提高企业 的整体网络弹性。 2/3 同时CSF的数据库还能提供行业基线,可视化当前成熟度与企业 能力的目标成熟度之间的差距。 更重要的是,CSF平台还提供了网络安全建设工作复检功能:在 得到当年网络安全成熟度的评估后,客户可以就得分较低的领域 进行改进,并在来年,对于相同的领域重新检测,两次得分进行 对比,可以得出网络安全的投资回报率 ,以及相关部门的工作执 行能力 ,这对于一个企业无疑是珍贵的声音。 结语 每个企业都必须在某个时刻考虑到网络安全的问题,涉及流程、 人员管理等。一切都变得越来越数字化,除了技术带来的明显优 势外,它还带来了固有的威胁。为了妥善保护自己,每家公司都 应该知道最重要的数字化资产是什么,哪里有弱点以及存在哪些 可能的解决方案。但是网络的前景是巨大的,保持一个全面的视 角并决定在哪里投资是非常困难。 CSF可以为企业提供最好的并且可定制化的服务,以满足其特定 需求。它也是一种独特的解决方案,可以满足每个内部或外部投 资利益相关方的需求。 3/3

pdf文档 德勤中国 数字化时代下的网络安全战略框架

文档预览
中文文档 3 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共3页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
德勤中国 数字化时代下的网络安全战略框架  第 1 页 德勤中国 数字化时代下的网络安全战略框架  第 2 页 德勤中国 数字化时代下的网络安全战略框架  第 3 页
本文档由 思安2022-10-21 10:40:24上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言