编者按: 的 国际刑警组织“网络安全指挥课程2024”为期五天,ISACA中国香港分会应香港警务处邀请,就“网络指挥官在加强网络安全管治中的作用”进行专题讨论.ISACA小组成员包括分会主席何汝仁(均富会计师事务所副执行合伙人), Freeman Ng (Chapter Director of Program; Co-founder & Principal Consultant of iSystems Security Limited), Maverick Tam (Chapter Director of Certification; Chief Risk Officer at 香港 Interbank Clearing Limited) and was moderated by 韦兰楚 (Chapter Secretary & Vice President of Certification; Alliance Director, APAC of Thales). ISACA团队与来自不同国家/司法管辖区的执法机构进行了交流, including Azerbaijan, 巴林, 中国, 香港, 韩国, 澳门, 摩洛哥, 荷兰, Singapore and Thailand. 以下是小组讨论的摘要:
韦兰: 网络安全威胁在所有社会都很普遍. 这对公众构成重大风险,并可能影响国家安全. 专家小组将分享如何建立和持续加强网络安全治理的想法. 他们的见解将使观众能够更好地应对网络攻击, 尤其是在不断变化的时代中.
What are the emerging threats?
尤金: 国际刑警组织和ISACA等组织一直在跟踪网络安全风险的趋势. 例如, 早在2019年,当世界被COVID大流行打乱时, 这些组织预测,包括勒索软件攻击在内的恶意活动将会增加, 随着越来越多的工作负载由组织和个人远程管理. While ransomware attacks will remain prominent, 来自世界经济论坛等知名组织的最新调查, 高德纳和弗雷斯特强调了几个将影响我们社会的网络安全风险.
弗里曼: 地缘政治紧张局势和政治竞争加剧可能加剧对关键基础设施和供应链的攻击. 越来越多地使用人工智能带来了额外的风险,因为它可以被安全专业人员和犯罪分子利用. 人工智能可以帮助进行欺诈检测,但也可以通过深度造假和隐形的人工智能恶意软件实现社会工程. 实际上,人工智能正在加速安全军备竞赛.
特立独行: 作为关键基础设施运营商之一,我们有意识地监控网络安全趋势. 我们观察到的其他风险包括与云计算等新兴技术相关的风险, 供应链, regulatory compliance, 等.
As users of these technologies, 值得注意的是,虽然我们依赖第三方提供商使用他们的产品和服务, 我们对自己的控制和行为承担最终责任. In other words, responsibility cannot be outsourced.
说服董事会和高级管理层投资网络安全的有效方法是什么?
尤金: 经常听到公共和私营部门的组织说他们负担不起网络安全——除非他们被黑客攻击. 为了获得董事会的支持,从他们的角度考虑网络安全问题至关重要. 大多数董事会和高级管理团队倾向于优先考虑底线和声誉. 通过这些视角来解决网络安全问题是有效的:
Direct business impact: 考虑财务、运营、法律和声誉方面的后果.
Company valuation: For instance, during Yahoo’s sale in 2017, 由于数据泄露,Verizon降低了3.5亿美元的出价.
Stock value decline: 最近的一份报告显示,上市公司的股价平均下跌了7%.数据泄露后,他们的股价下跌了5%,加上平均市值损失了5美元.40亿年.
Damaged customer relationships: 另一份报告显示,数据泄露后,21%的消费者可能会停止使用受影响的公司.
Personal liability: In some jurisdictions, such as South 韩国, Singapore and the US, 管理层可能会对网络安全问题上的疏忽负责.
导致安全漏洞的常见原因是什么?
弗里曼: 应对竞争优先事项带来的挑战, 复杂性和有限的意识和技能需要一种战略方法. Identifying the root cause is pivotal. 组织可以通过有针对性的改进来增强其网络安全态势:
- 治理 and risk management: 加强政策、问责制和风险评估框架
- 培训 and Certifications: 为员工提供必要的知识和技能,以应对不断变化的威胁
By addressing these foundational elements, 澳门赌场官方下载可以主动保护自己的数字资产,并在不断变化的环境中保持弹性.
什么是治理,网络指挥官的角色和责任如何促进网络安全治理?
特立独行: With reference to the COBIT framework, 良好的治理有助于使公司的行动与其目标保持一致, 管理风险,提高操作的有效性和效率. 网络指挥官在保护国家关键基础设施方面发挥着关键作用. 他们把, 同意并分享目标,以确保所有行动都能达到预期的结果, with periodic reviews for realignment. 的y are tasked with developing, 实现, 更新安全策略以防止未经授权的访问, theft and damage. 组织结构由三道防线加强.
Risk management is crucial; cyber commanders identify risks and develop mitigation strategies while adhering to international standards like PCI-DSS and IEC 62443, and local cybersecurity laws and regulations.
Security operations management involves monitoring, 事件响应和漏洞管理,以有效地执行安全策略. 人为因素被认为是网络安全事件的一个重要来源. 与不同部门的利益相关者进行协作,可确保安全协议具有全面性和适应性.
网络指挥官还领导安全意识培训项目,教育关键基础设施运营商的员工和公众保护敏感信息免受网络威胁的最佳实践. 通过调整合适的人员来确保运营的有效性, 技术和流程,同时不断审查预算,以有效地优化资源.
在预算方面,最近的研究表明,安全占据了IT预算的5%-25%. This is quite a wide range, 在启动阶段和受监管的行业,风险较高,当组织稳定并获得更好的网络安全状态时,风险较低.
加强网络安全治理有哪些切实可行的途径?
弗里曼: 可以通过关注以下几个关键领域来加强网络安全治理:
文化: 重点是建立精英团队来防御和保护. 他们在法律和私隐条例的范围内运作.
Risk management: 识别和管理国家IT/OT基础设施的风险是关键组成部分, as well as relevant regulations and standards.
结构: 组织设置包括网络指挥官等角色, 团队领导, cybercrime analysts, intelligence analysts, investigators and digital forensic examiners. 使用人才指标来确保一个健全的人才管道.
Capacity building: 技术融合和全球伙伴关系是重点关注的领域. 利用标准——例如,USCYBERCOM制定了联合网络工具包标准(例如.g., Deployable Mission Support System DMSS). 公共/私营部门合作可增强集体复原力.
Specialization and innovation: Combine AI, big data and dark web keyword searches. 威胁情报图表(人工智能驱动的类似于马耳他的工具)被用来帮助行动/任务小组. Adaptive Honeypot attracts and analyzes malware.
Education and training: 利用大学和教育机构作为人才管道. 持久网络培训环境(PCTE)提供灵活的在线培训. 竞争和挑战可以促进团队间的合作.
How does ISACA help?
特立独行: ISACA提供 range of certifications and cybersecurity courses such as digital forensics, penetration testing, 威胁狩猎, vulnerability identification and analysis, 和审计. 这些认证和课程可以帮助执法机构和关键基础设施发展对网络安全的深刻理解和熟练程度. By completing the relevant certification programs, 执法机构和关键基础设施的官员可以深入了解构建和定义网络安全的数据和技术原则, 它的语言, 网络安全专业人员在保护澳门赌场官方下载数据和基础设施方面发挥着不可或缺的作用. 这些知识可以帮助组织更好地了解威胁情况,并制定更有效的安全策略.
最终的想法?
尤金: We should always remember that we are humans, 我们比任何技术都更有智慧和创造力. 然而, 我们还应该利用技术来帮助我们进入以前无法进入的领域. By reducing the cybersecurity risk, 我们希望社会能够受益于先进的技术和人类的潜力,创造一个更加和平的世界.
弗里曼: 网络安全治理决定着网络防御的未来. 的 cyber command team’s culture, risk management, 法律遵守和结构构成了网络安全工作的支柱. 创新、能力建设和全球伙伴关系引领着网络安全的动态世界. 利用人工智能、大数据和先进工具,同时优先考虑继续澳门赌场官方软件. Cyber command is the vanguard in this complex, evolving cyber space, moving forward with courage and innovation.
特立独行: 网络司令部与工业界密切合作, such as threat intelligence and information sharing, and joint cyber response drills, 提高对网络威胁的整体准备是否至关重要.
