网络安全行业敦促与中小企业进行联系
英国信息保证公司的首席敦促网络安全行业改善其与中小企业(中小企业)的参与。
“IASME联盟首席执行官Emma Philpottiom of Iasme Consortium的信息安全行业有很多焦点,”IASME联盟的首席执行官告诉ISSE 2015在柏林安全大会上。
“这种方法必须简单,必须没有网络发言,中小企业不应让人感到差,在与中小企业有关时,成本必须始终如一,”她说。
Philpott表示,专注于积极态度也很重要,鼓励中小企业采取小步走向更好的网络安全,并奖励取得任何进展。
她说,信息安全行业的参与是必要的,因为中小企业通常不会打扰网络安全。
这是一个主要原因是,中小企业客户很少要求信息保证,中小企业不了解对其业务的威胁 - 特别是从网络犯罪 - 中小企业不知道该怎么办,专业知识昂贵,中小企业通常太忙,而是既忙于保持业务漂浮。
“另一个关键问题是,中小企业没有听到其他中小企业在网络袭击中遭到破坏,要么是那些针对这些中小企业的企图保持安静,或者他们根本不知道他们被违反了,”Philpott说。
因此,中小企业甚至更大的公司通常存在较低的网络安全程度。
“假设是网络安全的水平高于实际的水平,但大多数中小企业都没有做任何事情,这很令人震惊,”她说。
另一个常见问题是网络安全要求不会流下供应链,因为中小企业供应商往往无法满足经常忽视的要求。
“公司正在制定不能够满足网络安全要求的供应商的例外,这是为整个供应链引入关键漏洞,”Philpott说。
为了提高所有英国公司的网络安全姿势,政府与IASME和其他合作伙伴合作开发了网络要领计划(CES)。
该方案基于研究结果,即许多违反的公司通常缺乏基本的安全控制。
CES识别五个基本安全控制,并使公司能够获得其实施这些控件的认证。
英国政府要求从2014年10月1日起处理敏感或个人数据的所有供应商的CES认证,并初步关注医疗保健和军队。
“五种技术控制是反恶意软件,修补,访问控制,防火墙和网络管理等极为基本的东西,但它们不是由许多公司完成的,”Philpott说。
基本认证在评估员检查的自我评估中颁发,但必须被签名为董事会成员的真实评估。
“这是强大的,因为它迫使委员会对他们公司的网络安全负责,因为如果被发现已经签署了欺诈罪,则为欺诈犯下违反索赔的评估,”Philpott说。
CES Plus是审计版本,包括内部和外部测试。两个版本都可以与IASME的治理认证相结合,包括保险和支持。
由于CE于2014年4月推出,IASME已收到460份认证申请,其中258名收到CES认证和171个联合CES和IASME治理认证。
Philpott表示,申请人已经包括各种规模的公司,但最多的数量是微型企业。“这是辉煌,只是我们想要的,”她说。
通过认证过程,IASME了解到,大多数中小企业对网络边界的概念没有好主意,也没有意识到即使他们外包安全性,他们仍然负责,并且没有实现所有设备所需的防恶意软件不仅仅是台式计算机。
许多人也没有意识到他们需要更改默认密码,尤其是在路由器上,并且需要保护家庭办公环境。
“到目前为止未能实现认证的公司所看到的最大原因是他们对不受支持的软件的依赖,通常是Windows XP,”Philpott说。
在结束时,她重申了她对信息安全行业的呼吁与中小企业进行互动,使网络安全更容易获取:“网络安全水平在中小企业中令人难以置信的低,这通常需要外部团队的帮助来实现。他们想要安全,但必须容易且实惠。“