CISA缩编下的网络安全支持与替代方案指南

本文探讨了CISA缩编后组织面临的网络安全挑战,分析了IT与信息安全的区别,并提供了通过可信顾问和非正式风险评估来弥补资源缺口的实用方案,帮助中小企业建立有效的安全防护体系。

随着CISA缩编,我们如何获得支持与指导?

CISA(网络安全与基础设施安全局)是美国的网络安全防御机构,支持所有美国组织实施和改进关键信息安全韧性。

CISA一直是盟友,协助州和地方政府进行安全选举,并为各种规模和类型的组织提供大量免费工具和模板库。尽管尚不清楚CISA的缩编将如何改变其提供的众多服务,但我们知道已有数百名人员受到影响,这将进一步削弱CISA本已负担过重的任务。

随着新的AI威胁每天出现,网络犯罪去年造成了创纪录的9.5万亿美元损失(比2023年增长10%),“坏人"似乎拥有几乎所有优势。与此同时,许多组织仍然不了解安全与技术之间的基本关系。

安全专业人员多年来一直处于劣势,许多公司人员不足,并未将信息安全(IS)预算与其可利用的风险向量相匹配。

组织通常甚至没有全职的信息安全职位。一个常见的误解是IT(信息技术)人员是经过培训且有经验的信息安全人员。虽然IT和IS有重叠,但它们是独立且不同的实践。虽然常见的是找到同时具有IT经验和资质的信息安全专家,但反过来却很少见。

认为IT的范围和专业知识与IS相同的组织领导者具有错误的信心,这不仅是一种安全差距的形式,而且对那些承担超出其培训和专业知识范围的IT专家也非常不公平。

弥补CISA的缺口

IT和IS人员都极大地受益于CISA和其他美国政府机构(如NIST国家标准与技术研究院)提供的资源。既然这些本已人员不足的机构正在缩编,我们该如何弥补这一缺口?

大型组织可能已经拥有一支IS专业团队,并建立了定期评估甚至审计的工作框架。虽然它们无法取代像CISA那样收集全球漏洞信息并追踪威胁行为者的集中式非营利资源,但至少拥有内部经验丰富的专家从业者。

可能首先受到影响的是中小型企业(SMB)以及州、县和地方政府。中小型企业实施成熟安全模型的可能性要小得多,并且在许多情况下深受前述IT/IS误解之苦。

补充组织内IS工作的一种方法是使用为您管理安全的安全产品。其中一些产品确实非常好;然而,在没有经验丰富的可信顾问的情况下购买它们就像踏入雷区。供应商营销材料很少简洁或适合新手消费者。

与其直接联系供应商,不如寻找一个可信顾问,例如拥有广泛产品线和良好声誉的增值经销商(VAR)。优秀的VAR使用经验丰富的安全顾问来寻找符合组织需求的产品和服务。VAR致力于维护与您组织的良好声誉和关系,因此他们不太可能推荐糟糕的选择。

在研究和购买安全解决方案之前,请尝试这样做

在寻找填补组织安全缺口的产品和服务之前,您需要知道您的缺口是什么以及如何填补它们。

一些组织会参考相同规模和相同市场中类似组织使用的产品,但这可能是灾难的配方。没有两个组织完全相同,做出这种假设很可能会导致重大的安全缺口和错误的安全感。

即使您有可信顾问,除非您进行了风险评估,否则他们只能对您的组织做出有根据的猜测。

风险评估经常与漏洞评估和渗透测试混淆。如果您不完全确定自己理解这些差异,可以在这里学习。

大多数风险评估的问题在于它们是为财富500强公司和大型政府实体设计的。它们可能花费数万美元,需要数月或一年才能完成。

为了满足缺乏预算、时间和资源进行风险评估的中小企业、县政府实体和地方政府的需要,Cadre信息安全创建了首个成功的非正式风险评估。

非正式风险评估遵循与正式风险评估相同的框架,但专为小型组织从头设计。它只需几千美元,可以在几周内完成。

非正式风险评估不仅会发现您组织中的安全缺口,还会为所有第三方安全产品和服务提供范围和成本理由。它还可能提供一系列其他好处,例如证明尽职尽责和尽职调查,这可能是董事会要求的。

立即规划您的下一步

随着CISA、NIST和其他资源的减少,现在是确保您的组织至少拥有最低限度的工具、政策、计划和资源以避免网络灾难的最佳时机。如果您询问该与谁讨论网络安全问题或问题时,被引导到人员不足的IS部门,或者更糟的是,人员不足的IT部门,那么您几乎肯定需要一个可信顾问和非正式风险评估。

如果您需要一个拥有30年经验的信息安全VAR,可以提供供应商无关的产品和服务指导以及业界最佳的中小企业风险评估,Cadre适合您。

现在您可能认为我的推荐有偏见,因为我在Cadre信息安全工作,也许这是真的,所以我建议您考虑Cadre也是一个中等规模的组织,与您的组织类似,并彻底审查和理解所有产品和合作伙伴。Cadre有一个政策:“如果不能做好,就不要做”,如果Cadre无法满足您的要求,与其他VAR不同,他们会帮助您找到另一个能够满足您需求的供应商。

如果您已经有一个使用并信任的VAR,请继续与他们合作。Cadre非正式风险评估团队是供应商无关的,并乐意为您进行评估。请记住,大多数标榜为"风险评估"的产品并不是风险评估,而是重新包装的漏洞评估或扫描。如果风险评估是基于软件的,特别是如果它包括"扫描”,那么您看到的是一个虚假宣传的产品或服务。让我们帮助您的组织安全行事,基于知识而非猜测。

AI未生成本文

事实上,本文是在1982年Apple LISA计算机上起草的,该计算机引入了个人计算机历史上最深刻的进步… 本材料的任何部分不得以任何方式用于或复制用于训练人工智能的目的。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次