风险, 在网络安全的背景下, 在所有信息安全专业人员的脑海中不断出现. 从入门级的IT帮助台专业人员到经验丰富的首席信息和安全官, 威胁, 以及它们的潜在影响, 如果它们仍然是未知的变量,会引起严重的担忧和压力吗. 许多组织试图通过执行遵从性练习来对抗他们的不安并降低他们的潜在风险水平. 利用开放式工具, 由组织自己定义, 并结合第三方审计, 组织试图满足广泛的遵从性需求,徒劳地希望他们会因此变得更加安全. 然而,遵从性不是风险,风险也不是遵从性. 只有通过积极评估具体的威胁, 以及它们的潜在影响, 澳门赌场官方下载能真正了解自己的网络风险状况吗. 此外, 只有将当前的网络安全控制和实践应用到他们的风险概况中,组织才能真正了解他们对在线运营所呈现的严酷荒野的防御姿态.
当考虑组织利用各种机制来保证自己的在线安全时, 要全面了解组织的防御姿态,很少有选择. 目前的选择包括可以防止常见攻击的工具,如网络钓鱼或数据丢失防护. 然而, 在考虑整体评估时, 很少有功能和流程被利用——这让那些在这些公司的数据库中存储数据和个人身份信息的用户非常沮丧. 在现实中, 许多公司只关注安全性的几个主要元素:遵从性(实际上不是安全性), 操作安全和数据安全. 事实上,操作安全很重要, 没有操作, 安全将不复存在——关键是要记住,损害公司的其他方面可能会导致间接的运营影响. 例如, 无担保的供应商, 谁可以访问组织的操作, 为黑客或国家行为者提供一个成熟的潜在漏洞. 另外, 数据安全, 虽然很重要,需要额外的考虑, 如果业务停止和资金减少,可能会放松. 结果是, 许多组织试图通过满足组织和政府提供的遵从性度量来证明他们的安全立场是整体存在的. 然而,这让许多领导者和公司陷入了一种依赖合规性作为安全保障的危险境地. 然后,这些领导者会基于一种危险的假设进行操作,即认为遵循法规的组织一定是安全的.
以“合规性第一”的心态运营组织会让澳门赌场官方下载中的每个人都面临更大的风险. 过分强调合规, 以牺牲安全为代价, 功能类似于以牺牲配偶为代价过分强调孩子. 依从性水平就像孩子一样,因为他们是社会上许多人用来衡量家庭健康的基准. 行为端正的, 整洁的孩子常常使外人以为家里有健康的家庭生活. 然而, 如果孩子是唯一的焦点, 以牺牲配偶为代价, 可能存在严重问题, 这一点可能不会很明显, 将家庭关系置于更大的危险之中. 同样地, 合规性通常是组织准备和安全的公开面孔. 它经常受到国际评估组织的审查, 第三方审计公司, 以及政府本身. 然而,, 过份强调合规, 以真正的风险评估为代价, 制造了一个危险的操作环境,增加了风险.
虽然整体的网络安全形势看起来黯淡而令人担忧,但希望并没有消失. 具体地说, 采用以风险为中心的方法进行全面安全的组织经常发现自己处于网络安全逆风的强势地位. 另外, 进行全面的网络安全风险评估,确定网络成熟度, 组织发现他们可以更容易地实现行业或地方对他们提出的要求的遵从性. 此外,由于工具,如 CMMI网络成熟度平台, 进行网络成熟度评估, 哪些决定了组织的风险概况,并评估了关键实践和控制的应用, 组织可以了解其安全团队和整体安全准备的成熟度.
网络领域是一个可怕的地方,但对组织和澳门赌场官方下载来说是必要的. 尽管威胁潜伏在每个角落, 安全领导可以确保他们有适当的装甲. 了解网络安全风险评估和成熟度度量, 不仅仅是简单的服从, 所有其他努力所连接的那块盔甲是否能帮助组织为他们将面临的最终攻击做好准备.