网络安全 ——高层管理者的责任

网络安全尚未真正得到严格定义，但是，在实践中，它指的是新型的安全相关的挑战，是随着数字化转型以及我们对相互关联的数字系统和服务的依赖性不断发展，影响组织和整个社会的安全，”芬兰运输和通讯局国家网络安全中心主任 Arttu Lehmuskallio 说。

网络安全也指，一个组织可以用来保护关键业务系统、软件、设备和数据通信网络免受任何网络威胁的措施。反过来，网络威胁是有害事件或过程，可能会影响组织的运营、财务、数据、声誉，甚至在最坏的情况下，还会影响业务的连续性。

通过他的工作，Lehmuskallio 在网络事件方面拥有丰富的经验，并习惯于从风险的角度看待问题。“我有时会不意地想知道，我们是否真的知道数字化转型的方向。我们真的了解它的所有风险
和后果吗？”

公开交流将使所有人受益

拒绝服务攻击、勒索软件、数据泄露、C E O欺诈、社会工程……数字操作环境为 IT 和 OT 环境中的犯罪分子提供了多种机会，任何依赖技术的企业，无论规模大小，都有成为网络犯罪目标的风险。

不一定是您自己的组织受到直接攻击。

“使情况更加复杂的是，不一定是您的组织受到直接攻击，它可能是您的业务网络中的一个组
织，其问题是会对您的业务产生重大影响。”Lehmuskallio 解释说。

了解组织之间的此类数字互连是预防网络威胁的关键部分。确保所有各方遵守网络安全标准，公开共享有关威胁的信息非常重要。

“总的来说，一个部门或集群内的所有组织都将从共享最佳实践中受益，也将从他们所经历的网络攻击的公开交流和对话中受益。”

网络安全是最高管理层的责任

以前，网络安全仅是IT安全专业人员关注的问题。但是，这种情况正在改变，因为高级管理人员和其他人越来越意识到网络威胁及其对企业潜在的破坏性影响。网络安全正日益成为高层管理人员和董事会关注的问题，而且本应如此。

“根据芬兰公司最近的一项研究，高层管理人员参与并优先考虑网络安全的组织，能够更好地应对网络攻击，并且能快速从网络攻击中恢复做好了充分准备。这些组织已经接受了这样事实，即防范网络威胁需要持续的分析和投资。”Lehmuskallio说。

由于巨大的潜在影响，网络安全应成为公司风险管理的组成部分，并综合业务连续性计划中需要包含网络攻击恢复计划。记住这一点尤为重要，与许多其他风险相比，需要更频繁地评估网络安全相关的风险，最好是实时评估。所有这些使网络安全成为战略层面的问题。

“例如，当从服务中发现新的漏洞时，它不仅会立即使之前被认为是安全的服务变得不安全，而且还会主动地进行回溯。这意味着所讨论的系统可能在整个生命周期中都是不安全的。无法保证该漏洞早在几年前就被利用而未发现。”

正确的策略支持网络安全决策

精心制定的网络安全策略是良好的工具，引导组织的发展朝着更安全的 IT 和 OT 系统发展，并在日常运营中增强安全例行程序。例如，网络安全策略程序可能包括识别和评估潜在风险、对组织（包括其业务网络）中网络安全的现状进行现实评估，以及有关开发领域和资源分配的决策。

大 约 90% 的 网络攻击 是 通 过个人完成的。

“战略还应说明组织与网络安全相关的目标和目的，以及有助于实现这些目标的手段、行动和例行程序。”Lehmuskallio 说。

此外，通过沟通、培训和危机演练，提高人员对网络威胁的认识也很重要。
大约90%的网络攻击是通过个人进行的，通常认为人员是最薄弱的环节。这是可以理解的，因为我们人类容易成为被攻击的目标——我们强势，我们想要取悦，我们不想被羞辱等等。

“但是，在我看来，创建一个网络安全环境和文化，帮助个人坚持安全的惯例，做出正确的决定，并限制个别员工可能造成的损害，是组织及其最高管理层的责任。”

熟能生巧——不容错过的机会

网络安全演习是测试组织的危机管理准则、过程和实践中的作用、以及提高危机承受能力和加速从网络安全事件中恢复的绝佳方法。

“公司应该把演习视为一种危机，可以选择危机的时机和影响，可以说是一种'自由'危机。” Lehmuskallio 说。演习的好处还有，在发生严重安全事件时，提高员工和决策者的观察、反应和恢复技能，并且可以更快地将资源分配给确定脆弱的地区。“

极其重要的收获还在于对供应商依赖性的进一步了解，并增强了对网络环境中个人威胁的识别和管理。”Lehmuskallio 总结说。

文： Sanna Haanpää-Liukko