CISA缩减规模下的网络安全替代方案与风险评估指南

本文探讨CISA机构缩减对网络安全领域的影响,分析中小企业面临的安全挑战,详细介绍非正式风险评估的价值,并提供选择安全产品与可信顾问的实用建议,帮助企业建立有效安全防护体系。

随着CISA缩减规模,我们能寻求哪些支持与指导?

CISA(网络安全和基础设施安全局)是国家的网络安全防御机构,支持所有美国组织实施和改进关键信息安全韧性。

CISA一直是盟友,协助州和地方政府进行安全选举,并为各种规模和类型的组织提供完整的免费工具和模板库。尽管尚不清楚CISA的缩减将如何改变其提供的众多服务,但我们知道已有数百名人员受到影响,这将减少CISA本已负担过重的任务。

随着新的人工智能威胁每日出现,网络犯罪去年造成创纪录的9.5万亿美元损失(比2023年增长10%),“坏人"似乎拥有几乎所有优势。与此同时,许多组织仍然不了解安全与技术之间的基本关系。

安全专业人员多年来一直处于劣势,许多公司人手不足,并未将信息安全预算与其可利用的风险向量相匹配。

组织通常甚至没有全职的信息安全职位。一个常见的误解是IT人员就是经过培训和经验丰富的信息安全人员。虽然IT和信息安全有重叠,但它们是独立且不同的实践领域。虽然常见到拥有IT经验和证书的信息安全专家,但反过来却很少见。

那些认为IT的范围和专业性与信息安全相同的组织领导者具有错误的信心,这不仅是一种安全差距的形式,而且对那些承担超出其培训和专业范围工作的IT专家非常不公平。

弥补CISA缺口

IT和信息安全人员都极大地受益于CISA和其他美国政府机构(如NIST)提供的资源。既然这些本已人手不足的机构正在缩减规模,我们该如何弥补这一缺口?

大型组织可能已经拥有一支信息安全专业人员团队,并建立了具有定期评估甚至审计的工作框架。虽然它们无法取代像CISA那样收集全球漏洞信息并跟踪威胁参与者的集中式非营利资源,但至少拥有内部经验丰富的专家从业者。

可能首先受到影响的是中小型企业以及州、县和地方政府。中小型企业实施成熟安全模型的可能性要小得多,并且在许多情况下深受前述IT/信息安全误解之苦。

补充组织信息安全工作的一种方法是使用为您管理安全的安全产品。其中一些产品确实非常好;然而,在没有经验丰富的可信顾问的情况下购买这些产品就像穿越雷区。供应商营销材料很少简洁或适合新手消费者。

与其直接联系供应商,不如寻求可信顾问,例如拥有广泛产品线和良好声誉的增值经销商。优秀的增值经销商使用经验丰富的安全顾问来寻找符合组织需求的产品和服务。增值经销商努力维护与您组织的良好声誉和关系,因此他们不太可能推荐糟糕的选择。

在研究和购买安全解决方案之前,尝试这个方法

在寻找填补组织安全漏洞的产品和服务之前,您需要知道您的漏洞是什么以及您将如何填补它们。

一些组织会参考相同规模和相同市场中类似组织使用的产品,但这可能是灾难的根源。没有两个组织是完全相同的,做出这种假设很可能会导致重大的安全漏洞和错误的安全感。

即使您有可信顾问,除非您进行了风险评估,否则他们只能对您的组织做出有根据的猜测。

风险评估经常与漏洞评估和渗透测试混淆。如果您不完全确定自己理解这些差异,可以在这里学习。

大多数风险评估的问题在于它们是为财富500强公司和大型政府实体设计的。它们可能花费数万美元,需要数月或一年才能完成。

为了满足缺乏预算、时间和资源进行风险评估的中小企业、县政府实体和地方政府的需求,Cadre信息安全公司创建了首个成功的非正式风险评估。

非正式风险评估遵循与正式风险评估相同的框架,但从头开始为小型组织设计。它只需几千美元,可以在几周内完成。

非正式风险评估不仅会发现您组织中的安全漏洞,还会为所有第三方安全产品和服务提供范围和成本理由。它还可能提供一系列其他好处,例如作为尽职关怀和尽职调查的证明,这可能是董事会要求的。

立即规划您的下一步行动

随着CISA、NIST和其他资源的减少,现在正是确保您的组织至少拥有最低限度的工具、政策、计划和资源以避免网络灾难的最佳时机。如果您询问该与谁讨论网络安全问题或问题时,被引导到人手不足的信息安全部门,或者更糟的是人手不足的IT部门,那么几乎可以肯定您需要可信顾问和非正式风险评估。

如果您需要拥有30年经验的信息安全增值经销商,能够提供供应商无关的产品和服务指导以及业内最佳的中小企业风险评估,Cadre适合您。

现在您可能认为我的推荐有偏见,因为我在Cadre信息安全公司工作,也许这是真的,所以我建议您考虑Cadre也是一个与您类似的中型组织,并彻底审查和理解所有产品和合作伙伴。Cadre有一项政策是"如果不能做好,就不要做”,如果Cadre无法满足您的要求,与其他增值经销商不同,他们会帮助您找到其他能够做到的供应商。

如果您已经有使用并信任的增值经销商,请继续与他们合作。Cadre非正式风险评估团队是供应商无关的,并乐意为您进行评估。请记住,大多数标为"风险评估"的产品并不是风险评估,而是重新包装的漏洞评估或扫描。如果风险评估是基于软件的,特别是如果它包括"扫描",那么您看到的就是虚假宣传的产品或服务。让我们帮助您的组织安全行事,基于知识而非猜测。

本文并非由AI生成。 事实上,本文是在1982年Apple LISA计算机上起草的,该计算机引入了个人计算机历史上最深刻的进步… 本材料的任何部分不得以任何方式用于或复制用于训练人工智能的目的。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次