早就应该而且越来越需要

几年前，我开始撰写和讨论即将出现的数据加密管理问题。我对问题的看法是正确的，但在时机上有点激进。然而，根据我最近看到的情况，加密管理的天空可能最终会下降（或者至少开始下降）。

让我对眼前的问题更具体一点。在过去的5-7年中，大型组织开始认真地加密数据。监管合规是一个重要驱动因素，而公开披露的违规行为只会火上浇油。在这种情况下，CPU性能提高，加密处理器价格降低。这些技术和经济趋势有助于消除关于加密的传统污名——它成本太高，性能太高。更快/更便宜的加密技术导致了加密集成（即磁带驱动器、网络设备、磁盘驱动器等中的加密处理器）。瞧，所有技术中都有更多的加密。

快进到2012年，加密技术以各种形式在整个企业中部署。朋友们，这就是问题所在。风险/合规官、安全专业人员和职能IT人员独立行动，并在临时基础上实施加密技术——没有标准，没有集中的指挥和控制，没有一致的监控和审计——nada。

不要让这些容易忽视的错误绊倒您的安全策略。

一些最大的违规行为可以归结为小错误。

在2021 5月的殖民管道攻击中，黑客使用泄露的密码通过虚拟专用网络访问公司网络。一个尚未修补的广为人知的漏洞是2017年Equifax攻击的入口点。Twitter上的比特币骗局始于针对Twitter员工的矛式网络钓鱼攻击。

当然，没有完美的安全计划，但这样的事件表明，网络安全团队不能忽视任何事情。

在这里，安全领导人警告说，八个容易被忽视的陷阱可能会破坏一个成功的安全战略：

谈论安全风险，而不是业务风险

联合国项目事务厅（项目厅）CISO和信息技术治理协会ISACA的董事会成员Niel Harper表示，网络安全已成为董事会一级的关注话题，但CISO和他们的高层同事往往继续将安全问题视为技术问题而非商业风险。

这看起来像纯粹的语义，但哈珀说，当企业领导人如此狭隘地看待网络安全时，确实会产生负面后果。

不要让你的董事会演讲失分。在向董事会传达网络安全风险时，请遵循这些最佳实践和常见错误。

网络安全是董事会最关心的问题。

事实上，在美国企业董事协会（National Association of Corporate Directors）调查的近500位领导人中，42%的人将网络安全风险列为他们面临的五大最紧迫问题之一，仅次于监管环境的变化和经济放缓。

因此，安全管理人员越来越多地向董事会介绍他们面临的风险和缓解风险的策略。

互联网安全公司Webroot的首席信息官、资深董事会成员加里·海斯里普（Gary Hayslip）说：“越来越多的董事会在说，‘跟我们谈谈，告诉我们需要知道什么’。”。

然而，许多董事会成员发现，他们没有从首席信息安全官那里获得所需的信息。

管理咨询公司麦肯锡公司（McKinsey&Co.）的高级合伙人戴维·钦恩（David Chinn）表示：“董事会成员正在谈论网络风险，风险和审计委员会花了大量时间询问CISO，他们通常对这种经历不满意。”。

作为中国强化网络安全监管制度的重要组成部分，多级保护计划（“MLPS”）不是一个新概念，可以追溯到1994年和2007年发布的多项管理规则（通常称为MLPS 1.0规则），根据这些规则，网络运营商需要将其信息系统分为五个级别，并采取适当的网络安全措施。普华永道（PwC）中国大陆和香港的合伙人李（BarbaraLi）讨论了最新的MLPS 2.0及其要求。

中国MLP的演变

作为中国强化网络安全监管制度的重要组成部分，多级保护计划（“MLPS”）不是一个新概念，可以追溯到1994年和2007年发布的多项管理规则（通常称为MLPS 1.0规则），根据这些规则，网络运营商需要将其信息系统分为五个级别，并采取适当的网络安全措施。随着《2016年网络安全法》（“CSL”）于2017年6月生效，对MLP的审查已经加强。

CSL第21条规定，网络运营商在履行其义务时应遵守MLP的要求，以确保网络不受干扰、损坏或未经授权的访问，并防止网络数据被泄露、窃取或伪造。随着CSL的实施，遵守MLPS已成为一项法定义务。

首席信息安全官（CISO）是组织内的高级管理人员，负责建立和维护企业愿景、战略和计划，以确保信息资产和技术得到充分保护。CISO指导员工识别、开发、实施和维护整个企业的流程，以降低信息和信息技术（IT）风险。他们应对事件，制定适当的标准和控制措施，管理安全技术，指导政策和程序的制定和实施。