网络安全计划实施的可实现日历 Lightkeeper-最佳北美数据可视化软件提供商 对MiFID II咨询的需求推动了TABB集团在英国的扩张 BTIG建立债务资本市场和固定收益信贷 德意志交易所为私人投资者将精选的欧洲期货交易所产品整合到低成本数据包中 日本盛宝银行选择Torstone的Inferno进行法律分类和监管报告 EEX扩展Phelix-DE产品套件 Lyxor表示,欧元升值使全球宏观经济措手不及 Lyxor对冲基金指数下跌0.6% RIMES推出新的BMR服务 高峰策略-最佳北美公共关系公司 传统与Starfuels合作经纪谷物衍生品 到目前为止,2017年对冲基金表现良好 买方交易员应了解内幕交易的哪些内容 PEGAS报告8月份表现强劲,CEGH VTP的期货交易记录 GoldenTree在悉尼开设办事处 ICE推出新的伦敦白银每日期货合约 eSentire获得Warburg Pincus的成长股权投资 Sprott前管理团队推出了Ninepoint合作伙伴 SandPointe选择NAV作为基金管理人 Unigestion任命营销主管 欧洲期货交易所通过收盘市场期货支持电子化 NEX Data发布EBS FX基准测试 Crestbridge加入了卢森堡高级团队 ICE根据纽约证券交易所FANG +技术股票指数推出ICE期货美国合约; 梅特兰任命ManCo服务新负责人 Capital Dynamics推出私人信贷资产管理业务 印度河谷合作伙伴增强了企业数据管理平台 Lyxor表示,宏观基金的断开连接即将结束 SIX Swiss Exchange和纳斯达克将为SIX的OTC结构产品开发分布式分类帐技术 盖茨(K& L Gates)增加了波士顿重组和破产合伙人 澳大利亚精品店Antipodes Partners推出全球旗舰L / S战略的UCITS版本 伦敦金属交易所(LME)提出了“战略途径”来推动增长 Marcum另类投资经理论坛将于11月1日举行 研究表明资产经理必须做好重新发明的准备 MUFG投资者服务任命全球基金融资团队负责人 SmartStream推出TLM对帐高级版的新版本 英属维尔京群岛因飓风艾玛而营业 CMi2i的股东ID分析可在彭博终端机上获得 布雷顿山资本团队加入纽伯格伯曼 在MiFID II之后,欧洲的资金分配和投资子咨询将迅速转变 交易所理事会支持Phelix-DE作为德国电力期货的前进之路 MJ Hudson在卢森堡启动欧盟门户 新兴投资于威盛AM 超过36%的对冲基金经理提供降低的费用 EEX将于2018年推出液态奶未来 NEX监管报告推出EMIR RTS Rewrite解决方案 ICMA和ERCC发布亚太回购市场调查结果 Twin Capital Management任命市场部高级副总裁 Cowen Prime Services-最佳北美主要经纪人
您的位置:首页 >行情 >

网络安全计划实施的可实现日历

2021-03-04 19:20:27 来源:

满足当今金融公司对网络安全的无数要求是一项艰巨的任务,有时甚至是无法实现的任务。该列表的规模和范围不断扩大,记住对技术负责的CTO和业务主管来说,执行测试的频率或何时更改密码的挑战越来越大。

为了帮助指导您的公司实施网络计划,我们概述了安全提醒的基本日历,以帮助您保持进度。按频率列出,这是您应该计划采取这些安全措施的频率:

3个月:修改密码

我们建议至少每90天更改一次网络,系统和应用程序密码,以防止入侵者获得未经授权的访问。请记住:密码的创造力至关重要,密码的重用是很大的禁忌。

3-6个月:进行模拟网络钓鱼活动

网络钓鱼是当今使用的最有效,因此也是最危险的社会工程骗局之一,并有可能诱骗和操纵用户打开门户,共享机密信息,或者在许多情况下进行金融交易。模拟的网络钓鱼活动(无论是由您公司本身还是通过受管理的服务提供商进行)是测试用户对电子邮件威胁的了解并培训他们了解网络的最有效方法。大多数公司选择每季度进行一次网络钓鱼测试,但每半年进行一次钓鱼活动也是司空见惯的。

3-6个月:需要进行远程访问测试以确保业务连续性

作为公司总体业务连续性计划的一部分,公司至少应每季度至少要求各个用户测试其远程访问功能。远程测试应封装连接选项(例如VPN连接,Citrix应用程序访问,Web应用程序等),并且用户应验证其在各个级别上访问公司网络,系统和应用程序的能力。远程测试是BCP计划的关键要素,并确保组织能够在因安全,天气或其他与灾难有关的事件而无法到达办公室地点的情况下正常运行。

6个月:进行漏洞评估

金融公司,包括对冲基金和私募股权公司,每年应两次计划进行漏洞评估,以识别网络内部和外部的潜在漏洞。完成这些评估后,公司可以利用其IT提供商来纠正问题并提出主动改进的建议。

6个月:测试您的灾难恢复系统

如果以及何时发生灾难,其中包括可能导致公司网络或系统陷入危险的网络安全事件,您希望确保始终保护机密数据。为了让您高枕无忧,必须至少每六个月测试一次灾难恢复(DR)系统。全面的故障转移练习在为公司提供灾难恢复经验方面特别有效,但是某些服务也可以通过避免对生产环境造成干扰的方式进行测试。

6-12个月:进行第三方供应商风险评估

如今,供应商风险管理已成为组织的首要任务,特别是对于那些依靠众多外包和托管服务提供商来支持日常业务运营的组织而言。在网络安全方面,必须评估您的第三方供应商,以验证其安全措施和协议是否符合您公司的需求和期望。每年至少一次(如果不是两次),请与您的第三方联系以对其IT系统和网络实践进行审查,并保留更新的策略文档。在当今快节奏的网络环境中,备灾方法正在迅速变化,因此,企业需要及时了解其供应商如何应对和缓解风险。

6-12个月:为管理和/或事件响应团队进行内部桌面练习

就像远程访问和灾难恢复测试一样,通过这些动作,最容易理解用户在网络事件(以及公司)中的经历。桌面练习将高级管理层和/或您的事件响应团队的内部利益相关者召集在一起,进行基于场景的练习,并找出连续性和响应计划中的空白。可以亲自进行或虚拟进行桌面操作,但至少应每年进行一次,以确保对网络威胁态势和业务本身的更改都纳入到演习中。

12个月:完成正式的员工信息安全培训

信息安全意识培训可能是网络安全计划中最被低估和未被充分重视的领域之一。随着社会工程计划的兴起以及黑客将个人用户作为入侵企业网络的一种手段,培训变得至关重要。金融公司至少每年应要求所有员工完成正式的信息安全培训(虚拟或面对面培训)。培训应包括对常见威胁(例如网络钓鱼,恶意软件等)的概述以及减轻上述风险的最佳做法以及对公司安全策略的概述。

12个月:查看和更新​​内部安全文档

说到政策,必须每年至少审查和更新一次政策(并根据组织的变化考虑临时性)。所有公司安全文档应被视为“有效的”,这意味着它们会不断更新以应对不断变化的威胁,遵守新的和现有的合规性计划,并使公司有资格对安全威胁或事件做出响应。至少每年审查一次的文件包括但不限于:

业务连续性计划(BCP)书面信息安全计划(WISP)访问控制策略可接受的使用策略事件响应计划

3年:进行IT硬件刷新

您可能没有考虑添加到日历中的网络安全领域之一是技术更新。即使您已经在利用云服务来访问文件或托管应用程序,您仍然可以安装现场IT设备,而且这种设备不会永远持续下去。实际上,当今大多数技术,包括服务器,工作站,PC等,很幸运能够持续三到四年以上而不会引起任何问题或故障。为避免这些麻烦,公司应着眼于三年的时间评估其硬件并更新现场设备。正如我们在最近的WannaCry事件中看到的那样,旧版系统和软件会给公司的网络增加不必要的风险,并在整个组织内引发更严重的事件。

有关更多信息,请访问www.eci.com/cybersecurity。

 

免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。

今日中国财经