paint-brush
Những thay đổi đối với Chương trình CyberEssentials của Vương quốc Anh khiến các doanh nghiệp gặp rủi rotừ tác giả@aferreira
444 lượt đọc
444 lượt đọc

Những thay đổi đối với Chương trình CyberEssentials của Vương quốc Anh khiến các doanh nghiệp gặp rủi ro

từ tác giả André Ferreira, MSc6m2023/02/06
Read on Terminal Reader

dài quá đọc không nổi

Tóm lại, NCSC CyberEssentials (**CE**) là một chương trình được chính phủ Anh hậu thuẫn nhằm mục đích đưa các công ty thoát khỏi tình trạng nghèo nàn về bảo mật. Nếu ban đầu công ty không vượt qua được đánh giá, công ty sẽ được cấp một vài ngày để sửa và gửi lại miễn phí.
featured image - Những thay đổi đối với Chương trình CyberEssentials của Vương quốc Anh khiến các doanh nghiệp gặp rủi ro
André Ferreira, MSc HackerNoon profile picture
0-item

Tóm lại, NCSC CyberEssentials ( CE ) là một chương trình do chính phủ Vương quốc Anh hậu thuẫn nhằm mục đích đưa các công ty thoát khỏi tình trạng nghèo nàn về bảo mật.


Những người chọn tuân thủ chương trình này sẽ được hưởng lợi từ việc bảo vệ chống lại các cuộc tấn công mạng phổ biến nhất . Đó là những gì bạn có thể đọc trên nhãn hộp, tuy nhiên, bên trong hộp, còn nhiều điều hơn thế nữa.


Chương trình này có hai hương vị: CECE+ .


CE là một hình thức tự đánh giá, được thực hiện bằng cách điền vào bảng câu hỏi trực tuyến mà sau đó sẽ được IASME xem xét. Nếu các câu trả lời đủ chất lượng và rõ ràng, công ty sẽ được trao chứng chỉ. Nếu ban đầu công ty không vượt qua được đánh giá, công ty sẽ được cấp một vài ngày để sửa và gửi lại mà không phải trả thêm phí.


CE+ khác với CE bằng cách bao gồm xác minh kỹ thuật thực hành, hay nói cách khác, thông tin gửi được xác minh độc lập thông qua thử nghiệm thâm nhập.


Một điểm cộng nữa là một công ty được chứng nhận, có trụ sở tại Vương quốc Anh với doanh thu dưới 20 triệu bảng Anh, cũng được hưởng bảo hiểm Trách nhiệm pháp lý với giá trị lên tới 25.000 bảng Anh, trong khi các công ty từ nước ngoài có thể hưởng lợi từ chiết khấu bảo hiểm từ các nhà môi giới công nhận chứng nhận.


Nếu bạn coi kế hoạch này là một rào cản, mà một khi vượt qua, cũng đảm bảo cho doanh nghiệp mức độ tin cậy cao hơn để kinh doanh và danh tiếng được cải thiện, thì bạn đã đúng.


Cả hai hương vị đều có chi phí mua lại không đáng kể, nhưng các nhà lãnh đạo doanh nghiệp nên tính toán và phân bổ đủ thời gian để cho phép hoàn thành việc đánh giá, điều đó không hề nhỏ. Họ cũng nên chuẩn bị lực lượng lao động của mình cho những thay đổi về văn hóa và hoạt động vì những thay đổi này sẽ cần thiết để đáp ứng các yêu cầu chứng nhận.


Sẵn sàng hay không, một khi bắt tay vào cuộc phiêu lưu truyền bá bảo mật, doanh nghiệp sẽ nhận được sự đánh giá sâu sắc hơn về chủ đề này và đưa ra một tư thế bảo mật được cải thiện.

Một chút chỉ trích


1- Từ những người muốn nhiều hơn

Một số chuyên gia bảo mật muốn chương trình phát triển để cung cấp các sắc thái xám khác nhau tùy theo kết quả đánh giá, có nghĩa là nó sẽ cung cấp phân loại tốt hơn thay vì chỉ đóng dấu “được chứng nhận”.


Tôi đã quan sát thấy sự chỉ trích này trên các phương tiện truyền thông xã hội và nhóm những người ủng hộ nó là những người đã đứng ở phía bên kia của rào cản và phải chịu đựng sự mệt mỏi do thẩm định trong các đánh giá an ninh chuỗi cung ứng của họ. Sự háo hức của họ khi chuyền bóng cho IASME sẽ có khả năng làm giảm chi phí của công ty họ và thu được các phản hồi thống nhất. Tôi tự hỏi nếu IASME sẽ đi cho nó.


Khi suy nghĩ kỹ hơn, tôi cũng thừa nhận sự tồn tại rất đáng yêu của những doanh nghiệp có thể mong muốn tạo sự khác biệt với các doanh nghiệp được chứng nhận khác. Có thể là vì họ đã không cắt giảm các góc để được chứng nhận và tin rằng những người khác đã làm, hoặc vì nhận thức được rằng những cách cụ thể để đạt được X thực sự mang lại giá trị NULL hoặc thậm chí vì họ có thể biết các công ty tuyên bố tuân thủ khi không đúng như vậy.


Tuy nhiên, cá nhân tôi không tán thành sự thay đổi đề xuất này của chương trình vì tôi cho rằng nó nên được duy trì cho đến khi số lượng công ty được chứng nhận cao đến mức chứng nhận không còn phục vụ mục đích nào nữa, thay vì thay đổi tình trạng nghèo nàn của nó nhiệm vụ chết đói giữa cuộc đua marathon.


Lý do của tôi bắt nguồn từ việc từng trải qua tình trạng nghèo đói về an ninh và có thể nhận ra mức độ nỗ lực cần thiết để vực dậy một doanh nghiệp khỏi tình trạng đó. Như vậy, mặc dù tôi hiểu rằng việc chứng nhận lại hàng năm sẽ không thú vị và dễ thay đổi như lần đầu tiên nó được thực hiện, nhưng tôi sẽ cau mày nếu sau một vài năm, nó vẫn là chứng nhận bảo mật duy nhất mà một công ty nắm giữ…

2- Từ những người cần nhiều hơn

Mặt khác, và mặc dù kế hoạch đã thành công kể từ năm 2014, kế hoạch này vẫn tiếp tục nhận được những lời phàn nàn về việc không đủ thông tin và yêu cầu làm rõ thêm về một loạt chủ đề. Tôi, bản thân tôi, đã có câu hỏi.


Tuy nhiên, tôi thấy phản hồi này là không thể tránh khỏi và được mong đợi với đối tượng rộng rãi được nhắm mục tiêu của chương trình vì người ta có thể làm rất ít nhưng hy vọng đạt được mức độ cộng hưởng lớn ngay cả khi chỉ truyền một thông điệp ngắn tới nhiều đối tượng khác nhau.


Tuy nhiên, bài phê bình quan trọng và thường xuyên này nhấn mạnh một cách rõ ràng rằng người nghèo và người lầm lạc đang tìm đến sự giúp đỡ và muốn làm tốt hơn! Nhưng nó cũng đặt ra câu hỏi liệu việc nâng tiêu chuẩn có thực sự là dưới mức tối ưu hay quá sớm hay không.

3- Từ những người không đồng ý

Ngoài ra còn có một số chuyên gia bảo mật thách thức một số chi tiết cụ thể của chương trình. Ở đây, cần phải cẩn thận và tạm dừng vì tất cả các chuyên gia bảo mật nên nắm bắt nội dung của thử thách một cách dễ dàng. Vì vậy, khi một người nào đó bắt đầu LÀO ÁN với ý định duy trì các hoạt động tiếp cận với lĩnh vực phi đạo đức, những người khác sẽ đặt câu hỏi về lý do thực sự đằng sau nó, có thể là nó luôn có cùng một nguyên nhân gốc rễ: chi phí tài chính, thay vì không có kiến thức về rủi ro.


Tôi tin rằng điều này chỉ xảy ra do trọng lượng của chi phí đã xác định chưa được kết hợp với sự đánh đổi đạt được. Tuy nhiên, tôi nhận ra rằng ở đây, các trận chiến phải được chiến đấu từng trận một với mục tiêu giáo dục để cho phép một trạng thái giác ngộ được chia sẻ, đây sẽ là một quá trình chậm và được phục vụ tốt hơn với việc lập mô hình mối đe dọa, xác định và định lượng rủi ro trước bất kỳ xử lý (chấp nhận, chuyển giao, giảm thiểu, tránh).


Mặc dù cho đến nay tôi vẫn chưa tán thành những thách thức đặt ra, do phạm vi ảnh hưởng và khả năng hiển thị của tôi bị giới hạn, nhưng tôi cũng nhận ra cơ hội để chương trình mang lại nhiều giá trị hơn và hỗ trợ những người sẵn sàng chứng nhận dưới hình thức liệt kê những luật nào có thể vi phạm nếu Y và Z không đúng chỗ. Mặc dù những thứ đó có thể dành riêng cho Vương quốc Anh, nhưng cái nhìn sâu sắc có thể chứng minh có lợi và sức đề kháng thấp hơn.

Những thay đổi sắp tới có thể ảnh hưởng đến doanh nghiệp của bạn

Tôi đặt câu hỏi về hai trong số những thay đổi được đề xuất , vì tất cả những thay đổi khác đều cảm thấy giống như những cải tiến vào lúc này, nhưng tôi muốn được tự do xem lại.

1- Chương trình sẽ không còn yêu cầu báo cáo các kiểu thiết bị của người dùng.

Tôi có thể tưởng tượng IASME nhận được khiếu nại từ các doanh nghiệp có số lượng tài sản lớn về mức độ chậm và khó khăn của quy trình. Tôi đã từng ở đó, nhưng bất kỳ ai đưa ra khiếu nại này đều đặt ra câu hỏi ngay lập tức về cách công ty giám sát, kiểm soát và thay thế các tài sản nói trên và là một phần trong việc làm đúng để cải thiện an ninh của công ty. Như vậy, tôi sẽ không chấp nhận đây là lý do cho sự thay đổi.


Tôi có xu hướng tin rằng thay đổi này có lợi cho các công ty đánh giá IASME và có thể là CE+, những công ty có thể đang tìm cách giảm mức độ công việc của họ và do đó sẵn sàng hạ thấp tiêu chuẩn cho phép nộp hồ sơ linh hoạt hơn. Điều này gần với thực tế hơn theo nghĩa là thời gian đầu tư của những người đó, tùy thuộc vào quy mô của tổ chức được đánh giá, có thể dẫn đến chi phí không được chi trả.


Tuy nhiên, đối với tôi, vì các kiểu máy khác nhau rất có thể có các vòng đời hỗ trợ khác nhau và có thể có các hệ điều hành và chương trình cơ sở liên quan khác nhau, vì vậy, đây là một thay đổi tiêu cực.


Một ví dụ sẽ là báo cáo: “chúng tôi chỉ sử dụng máy Mac” khi các kiểu máy cụ thể đã không thể hỗ trợ các yêu cầu bảo mật khác nhau. Điều này làm xáo trộn thông tin được gửi.

IASME vui lòng xem xét lại!

2- Chương trình sẽ chỉ yêu cầu báo cáo chương trình cơ sở bộ định tuyến và tường lửa

Điều này làm tôi bối rối. Các công ty có bộ lặp wifi và những công ty có phần sụn, họ có máy chủ có phần sụn và tất cả các thiết bị khác… tất cả đều có phần sụn.


Ở đây tôi sẽ chỉ ra các nhà cung cấp dịch vụ ảo hóa và đám mây không chia sẻ thông tin đó. Và nếu tôi gần, thì tôi sẽ đặt câu hỏi cho IASME nếu có các yêu cầu riêng biệt đối với tài sản hữu hình và vô hình sẽ không hợp lý hơn.


Không biết chương trình cơ sở nào được sử dụng trong thiết bị sẽ ảnh hưởng đến việc ra quyết định liên quan đến mức độ bảo mật mà tài sản yêu cầu. Vì vậy, đó là một thay đổi tiêu cực khác dẫn đến bảo mật kém hơn.


IASME vui lòng xem xét lại!


Ít kiểm soát hơn không phải là tốt hơn, ít hơn là tồi tệ nhất. Trong hai trường hợp này ít nhất.


Hạ thấp giá trị của chứng chỉ là không đúng.



Cảm ơn vì đã đọc. Bạn nghĩ gì về những thay đổi này? Cho chúng tôi biết trong các ý kiến dưới đây!