盾起:是时候重新检查安全措施了

在数字世界中，有成千上万种方法将公用事业公司与客户联系起来。但是，我们如何在安全可靠的情况下进行这种转变呢?公用事业公司及其客户如何确保他们的数字数据得到适当的保护?建立信任的基石之一是公用事业公司对数字安全和数据安全的优先考虑。具体来说，乌克兰目前的情况增加了公用事业公司保持网络弹性和保持客户信任的必要性。

自近30年前成立以来，富兰克林能源一直投资于创新技术，以改善客户服务、外展和参与度，同时创造积极的体验。这包括在线申请处理、订购节能产品、安排现场服务预约或与呼叫中心代表进行对话。虽然这些正在进行的改进使生活在许多方面变得更容易，但最重要的是要时刻关注安全措施。

我们的安全和保障在数据收集、传输和存储的每一步都在幕后处理。多年来，我们从实用程序、供应商以及我们自己的团队和安全事件的失误中吸取了教训，所有这些都使我们能够构建最佳实践的剧本。同样，过去几年不断升级的勒索软件需求、大量严重漏洞的披露以及供应链事件创造了一个环境，要求所有组织——不仅仅是公用事业公司和为他们服务的人——提高他们的网络安全和网络弹性战略。现在是时候评估您组织的安全态势，并根据我们长期以来了解到的和下面概述的实践，仔细检查您的实践。

安全的旅程

首先，重要的是要理解信息安全是一个过程，而不是终点。在这个过程中，有几个关键的组成部分:设计(架构)、计划(路线图)，以及长期完成工作的意愿(过程本身)。昨天奏效的具体措施，并不意味着今天也能奏效。在快速发展的网络安全世界中，我们永远不能停滞不前。

其次，作为这一过程的一部分，获得行政领导层的支持至关重要。man万博登录好处包括财政和人力资源的分配，一个积极参与的领导者(或多个)支持必要过程的实施，以及在组织内鼓励采用的态度。

最后，不时地回顾和修改计划是一个很好的实践。正如我前面提到的，这是一个持续的过程，需要偶尔更新和新的方法。在制定调整计划的同时，花时间回顾一下你的公司已经走了多远，这是这个过程中极其宝贵的一部分。

在回顾我们在富兰克林能源公司学到的一些安全最佳实践之前，首先确定网络安全和网络弹性之间的区别是有益的。网络安全包括用于挫败网络威胁的技术和措施。网络弹性是指在遭受网络攻击或入侵时仍能维持业务运营的能力。没有可靠的网络安全解决方案。因此，网络安全和网络弹性对于保护组织的底线、生产力和企业的品牌声誉都至关重要。

网络安全实践

在Franklin Energy，我们的移动优先和云优先理念转化为高度复杂的多云生态系统，具有许多可互操作的系统和集成依赖关系;这种方法在当今的数字环境中并不少见。使用人员、流程和技术的正确组合，可以为数据的安全处理和存储提供必要的安全层。

纵深防御方法:在纵深防御安排中，控件是分层的，因此如果攻击者破坏了一个控件，下一层的控件将继续提供保护。为了提供信息安全的整体方法并在整个组织中设置期望，可以利用书面信息安全策略(书面信息安全策略，WISP)，它利用了不同层次的策略、过程、流程、标准和工作指示。例如，我们在富兰克林能源公司的纵深防御系统包括超过125个安全控制，我们的WISP横跨5层流程、指令等。任何违反这些政策或程序的行为都应被视为严重违法行为，可能会导致员工纪律处分，包括解雇。利用第三方可能有助于获得局外人的观点;富兰克林能源公司与值得信赖的顾问的安全团队合作，成功完成了安全审查流程，并审查了我们的安全和隐私计划。

通过工具和自动化的防御壁垒:特定于身份/访问/角色管理、数据加密、多因素身份验证、补丁和设备加密/锁定屏幕的安全控制和过程至关重要。所有系统的及时更新和升级应该在提供优先级和及时性指导方针的策略中强制执行。补丁可以通过中央管理工具进行部署，并且应该尽可能利用自动化来实现高效的管理。自动化允许IT团队优化资源，同时减少安全响应中的人为错误。所有端点和网络网关上的有状态防火墙、IDS/IPS、SIEM工具、用户行为分析、日志审查、反病毒、恶意软件和内容监控/过滤都应该是您的网络安全工具包的一部分。我们发现，在满足多个控制目标方面，使用来自单一供应商的集成工具套件已被证明是经济的。

SDLC中的AppSec:在开发软件时，安全性应该作为系统设计的一部分集成到软件开发生命周期中，并在发布之前通过静态和动态代码进行集成。对所有软件开发人员进行安全编码培训是保持整个团队或多个团队以尽可能高的标准运行的极好方法。此外，持续监控可确保没有新的应用程序漏洞。

渗透和漏洞评估:使用自动化工具和技术，包括渗透测试的基础设施，扫描漏洞是必须的。我们建议以每天、每周、每月和每年的不同频率对应用程序和基础设施进行内部和第三方测试。这些发现及其必要的缓解指南可以指导组织的安全性和弹性之旅。

安全教育和意识:在富兰克林能源公司，所有员工和承包商都要接受背景调查和持续的信息安全培训。确保组织的所有级别都熟悉可接受的数据使用、数据处理、网络钓鱼风险、机密性期望和隐私标准非常重要，间歇地发出这些主题的提醒也很重要。每个用户都应该是自己的“人肉防火墙”，接受过识别和报告可疑活动的培训。定期运行网络钓鱼模拟是一个很好的方式，让组织中的每个人都感到更有信心，并增加网络弹性。

在富兰克林能源，我们对信息和网络安全的承诺最好地体现在我们获得了与NIST网络安全和CIS CSC-20框架交叉的SOC 1和SOC 2 Type II认证。

从网络安全转向网络弹性

这不是如果的问题，而是什么时候的问题——具备处理各种网络风险的能力，并准备从网络事件中快速恢复，是一个持续监测和补救可能危及业务运营的威胁和攻击的过程。建立坚实的安全计划、事件响应计划、风险管理、业务连续性和灾难恢复实践的基础，为增强网络弹性提供了基础。

事件管理和响应过程——为应对可能面临的任何事件做好准备，组织应该建立事件管理和响应过程，提供与系统安全监控、日志记录、违规等相关的通信协议。响应时间应该是快速的-富兰克林能源，我们的响应时间是在24小时内。此外，如果发现任何应用程序漏洞，应在完成根本原因分析后向客户端或任何受影响方报告。事后，补救应完成并进行沟通。部署事件响应(IR)团队是管理事件响应能力的最有效方法之一，此外还要遵循既定的响应计划，该计划涵盖了从监测到检测、分析、遏制、根除和恢复的IR的所有阶段。

风险评估过程——一个组织的风险管理框架为整个企业范围的风险管理计划提供了指导方针，包括任务、战略目标、公司治理结构，以及关键的计划组成部分和计划。应制定政策和原则，以识别、评估、监测和控制公司各级的风险。风险管理工作包括合规、操作、数据和声誉风险方面的规定。风险升级和评估程序应该结构化，以提供必要的工具来减轻风险和识别过程改进机会。

供应商和第三方风险管理——建立广泛的供应商管理计划，确保与合作伙伴、分包商和供应商合作时跨公司和系统的安全控制的连续性。使用流动合同和安全和风险评估，积极监控供应商、分包商和合作伙伴的安全合规性以改善他们的安全状况是很重要的。这一原则的一个现实例子是我们使用第三方商户服务合作伙伴来处理安全和符合PCI标准的信用卡支付。我们的安全团队和管理层还监控第三方服务合作伙伴、请求，并审查来自这些服务提供商的信息。

灾难恢复/业务连续性:业务系统的设计不仅应考虑性能和可伸缩性，还应考虑高可用性、冗余和在停机或故障时的恢复。恢复和连续性计划至少应每年进行一次测试。

在Franklin Energy，我们的网络弹性工作主要集中在以下几个关键领域:

• 评估来自我们组织内部人员的内部威胁和外部风险，如数据泄露和勒索软件攻击

• 帮助员工保护家庭网络安全
• 保持反馈循环，分析在安全事件中获得的情报，以适应我们的能力

在广泛的攻击、模拟和威胁搜索活动中使用剧本是有帮助的，因为公司规模可以满足不断增长的威胁环境。再加上对优势和局限性的持续评估，一个组织就能很好地提供我们的绩效和有效性的观点。

由于网络威胁在不断演变，致力于网络安全和网络弹性战略是一项至关重要的持续任务，对于保护数字资产、维护数字信任以及在发生事件时尽快恢复是必要的。