英格兰银行表示网络安全的风险管理关键
OpenReach在新住房庄园免费建立FTTP网络
NHS英格兰注射了55米以上的e-reglrals optake
MWC16:GSMA和运营商续订对关联妇女的承诺
萨里大学5Gic项目探索农村非斑点
领先的Edge论坛与帝国学院的业务中断
每周计算机50:庆祝50年的英国技术创新
谷歌的Chrome以欺骗欺骗性的嵌入式内容
家庭办公室技术团队获取现场服务总监
工业控制系统对于网络攻击的生长目标
欧盟委员会发布欧盟美隐盾的法律细节
Gartner说CDOS缺乏组织设计经验
瑞典保险公司钢笔基础设施与城市网络交易
赫兹部门选择认识到支持IOT计划
CIO采访:软件扰乱业务流程的力量
2015年十大NHS IT故事
努力过渡到数字时代的企业
超过10%的IT工人在男性主导的环境中使用
它在欧洲支出的混合前景
ee宣布,第二款电力栏回忆起火灾风险
政府仍然没有满足FTTP的需求
Yeovil医院获取患者的在线预订系统
Deutsche银行签署印度的HCL技术,用于数字服务和系统集成
自动机器人驱动网络攻击创新
报告说,网络安全心态需要改变
伦敦大会报告说,资本需要更多样化的技术人才
部署的U-船辩护将宽带带到奥克尼群岛
看门狗敦促美国核机构关闭网络安全差距
CCGS合作向NHS英格兰提交数字计划
王子的信任桥接数字技能差距与年轻的苏格兰舞厅
随着澳大利亚的皇家飞行医生服务将分析应用于一切,变更在空中
欧盟代理商鼓励欧洲主义的力量打击恐怖主义和网络犯罪
消费者接受基于店内的基于位置的追踪
BT名称全球IT建筑师霍华德沃森作为CIO
2015年前十大北欧CIO访谈
澳大利亚蒙纳士大学的100Gbps网络权力Petabyte研究云
教育,工业和政府不匹配的主要障碍对数字技能
奥斯本在网络安全投资1.9亿英镑
FCA对云开放 - 但它调节的公司是什么?
诺基亚控制了阿尔卡特朗讯
EE和Plusnet最抱怨宽带提供商
Martha Lane Fox希望数字技能学院将阻止IT公司招聘“相同种类的面孔”
约克夏和亨伯警察的IT系统价值高达4100万英镑
CBRE说,并购和安全港的欧洲派对市场增长
格拉斯哥建造千兆光纤网络
金丝雀码头集团在其特性内带来4G网络覆盖范围
萨默塞特计划早期从西南一笔交易
波兰城市建立网络来管理智能公共交通系统
科技北欧倡导者将帮助北欧和波罗的海初创公司达到下一级
CIO采访:盖特威克机场IT商业公司负责人Abhilash Chacko
您的位置:首页 >论坛 > 研究报告 >

英格兰银行表示网络安全的风险管理关键

2021-06-09 20:44:15 [来源]:

风险管理是任何网络安全战略的重要组成部分,安全专家在伦敦举行了欧洲信息安全峰会。

他们说,战略很重要,因为网络罪犯有战略 - 使用所有可用手段来实现其目标。

“但网络风险不是关于技术的;它也是关于人和流程,因此它是关于领导和管理,“英格兰银行首席信息安全官员将布兰登·布兰登表示。

他说,企业领导人对企业领导人来说很重要,但这意味着他们需要在管理它之前了解风险。

“任何网络风险都是威胁,脆弱性和资产的组合 - 所有三个都必须出现存在风险,”布兰登说。

除了了解最可能的威胁是什么,组织需要识别最重要的资产或数据和系统以及漏洞。

组织可以通过专注于他们的人民,流程和技术,确定弱点并尽可能减轻这些来解决脆弱性。

根据Brandon的说法,每个组织都需要一系列的减轻和控制,旨在减少最可能威胁的风险。

这需要绘制并维护风险登记册以获得冒险和优先级,并确定某种形式的风险治理过程,包括风险所有者 - 负责业务关键数据和系统 - 以及IT安全的代表,信息安全,采购,人力资源(HR)和法律。

理解风险很重要,正如日本未能应对2011年宫城和福岛县的地震后果的情况所展示的,惠普·霍尔特帕德企业首席技术官Andzej Kawalec表示,据说。

他说,未能了解地震活动引起的海啸的风险,意味着日本没有必要的过程,导致海防被淹没,发电机被淘汰和福岛核电站的崩溃。

风险评估是预测不仅仅是自然灾害的关键组成部分,而且还有网络攻击,他说 - 这对组织提供了如何准备,检测和回应它们至关重要。

阿德里安德维斯(ISC)2号董事总经理阿德里安德维斯表示,往往被忽视的另一个风险的重要性是与客户和合作伙伴共享信息。

“分享信息对现代企业至关重要,但它也是风险 - 关键问题组织应该问自己是谁是谁在于分享信息,他们分享的是什么,谁将看到这些信息?”他说。

戴维斯引用了一家飞机行业工程师的例子,他们正在寻找特定的液压泵,无意中共用新飞机的蓝图以及中国潜在供应商的液压泵要求。这导致在飞机制造商能够将其移除之前在线广泛使用的蓝图。

组织需要在供应链中进行安全性,说戴维斯,并认识到共享信息自动改变其风险姿势 - 可能以难以量化的方式。

然而,他表示未能分享威胁信息将使网络犯罪分子成为一个优势,因为他们非常擅长信息分享实现目标。

“如果企业不共享网络攻击信息,那将使每个人都更脆弱,而且坏人将赢得并毁掉多年来经济增长的最佳引擎,”戴维斯说。

Cert-UK事件管理主管Mike McLellan表示,分享有关威胁和最佳实践的分享信息是实现有效风险管理的宝贵工具。

但是,Techuk首席执行官朱利安大卫指出,根据最近的IBM安全调查,虽然超过一半的首席执行官民意调查商定,同意对网络犯罪有必要进行合作,但只有第三个愿意在外部分享其组织的网络安全事件信息。

呼应布兰登的评论,他表示,对于组织来说,了解对组织各级的重要性 - 包括董事会 - 并用作所有风险管理进程的基础。

布兰登表示,一旦组织确定了风险,减轻和计划的缓解,首席信息安全官(CISO)很重要,以了解剩余的“净风险”在风险所有者的风险偏好中。

他说,找出风险所有者的风险所有者“真正的风险偏好是询问他们是否乐意接受净风险;如果他们不是,要概述哪些努力和金钱来减少这一风险。

一旦风险所有​​者批准了进一步的减轻和控制或签署了净风险,他们就会取得风险的所有权,并且Ciso的职责完成,布兰登说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。