互联性已呈指数级增长。很少有企业和组织不依赖连接和数字技术,个人和公司经常借此进行大宗交易。很难想象没有在线业务的现代化生活。
这使得每个人都有可能会成为投机取巧者和有组织犯罪集团犯罪活动的主要目标。存储在数据库中的个人信息可以被信用卡数据、金融资产和知识产权所访问。犯罪分子可以在没有任何物理障碍的情况下限制这些信息的正常访问,这种勒索软件攻击可以从急于恢复其网络控制权的受害者那里勒索巨额赎金。
今天对企业和组织的评判,不再像过去那样只看其产品的服务和质量。现在企业被评估的是企业对一系列内容的管理程度,如安全、平等和多样性、环境和可持续性以及信息安全等。上市公司要接受涵盖上述所有甚至更多方面的ESG评级。
这就是为什么组织要想在今天变得更有吸引力并被视为成功,就需要表现出对所有这些方面的承诺和治理。信息安全过去被认为只适用于信息和通信技术。由于每个人都处于风险之中且证明治理成果日益成为一项要求,如何解决这一问题自然受到公司和董事会的不断关注。
没有人可以免受攻击
通过电子邮件和社交媒体的虚假报价便可以向个人诈骗钱财。政府、教育机构、卫生机构和电力网络等由于被勒索而支付巨额赎金以防止必要的系统瘫痪。商业组织的重要业务资产会被盗取,ICT以及通信服务提供商由于能够提供进入组织的途径而极有可能成为攻击的目标。
从个人黑客仅仅为了乐趣通过恶意破坏而渗透网络,到犯罪分子对大众开展犯罪活动欺诈少量资金,再到要求组织实体支付巨额赎金,攻击的意图已经发生了变化。
由于风险重大,所有公司都需要评估其风险情况以及易受到威胁和攻击的类型。在进行评估时,公司还需要调查对可能来自其客户或供应商的攻击,以及对其自身系统的攻击是如何影响其价值链的。
虽然威胁仍然存在,但过去的普通病毒和黑客可能是当今最容易处理的问题。组织现在正与网络犯罪活动做斗争,但遗憾的是总落后网络犯罪一步。虽然组织已处理了识别的全部威胁,但是犯罪活动已经开展至下一阶段。
建立业务弹性与利益相关者信任
每一个处置的威胁都可以视为经验教训,并用于开发和预测防御攻击。然而,信息安全管理不仅仅减轻了短期风险,还涉及建立长期弹性。建立强有力的框架,以识别、管理和减轻风险,将推动持续改进、建立结构化治理和加强业务连续性。
符合ISO/IEC 27001等国际最佳实践的信息安全管理体系(ISMS)有助于公司了解实际的风险情况,并部署防止安全漏洞的措施以及处理事件的流程。此外,信息安全管理体系为开发和实施流程和安全控制提供了一个结构化的框架,例如确保管理承诺和员工培训。
虽然组织信息安全管理体系的发展是一个较小团队的工作,但需要让所有员工参与实施。大多数攻击都是由某个员工的粗心行为引起的,如点击钓鱼邮件中的链接、使用受到感染的U盘、设置的密码强度较弱或与陌生人分享等。员工的失误操作很少是蓄意的,但往往会带来风险。通过适当的培训可以避免这种情况的发生,但公司需要确保培训在全公司范围内进行且所有员工都应被覆盖。
组织可以根据自己或ISO/IEC 27001标准开发信息安全管理体系,进行内部或第二方审核以验证其合规性。然而,组织自己建立的体系无法独立地向客户和其利益相关者表明该体系已经在公司内部署且良好运行。
ISO/IEC 27001认证提供了信息安全管理体系符合标准要求的独立证明。它在公司内部建立了信心,并能够向客户、供应商和其他利益相关者表明您的信息安全管理体系已经由第三方认证机构评估并证明其符合要求。认证还要求对管理体系进行年度审核,并证明它仍然适用,从而建立业务弹性和利益相关者的信任。