paint-brush
英国 CyberEssentials 计划的变化使企业面临风险经过@aferreira
450 讀數
450 讀數

英国 CyberEssentials 计划的变化使企业面临风险

经过 André Ferreira, MSc6m2023/02/06
Read on Terminal Reader

太長; 讀書

简而言之,NCSC CyberEssentials (**CE**) 是一项由英国政府支持的计划,旨在帮助公司摆脱安全困境。如果公司最初未能通过评估,将有几天的时间免费更正并重新提交。
featured image - 英国 CyberEssentials 计划的变化使企业面临风险
André Ferreira, MSc HackerNoon profile picture
0-item

简而言之,NCSC CyberEssentials ( CE ) 是一项由英国政府支持的计划,旨在帮助公司摆脱安全困境。


那些选择遵守该计划的人将受益于针对最常见网络攻击的保护。这就是您可以在罐头标签上看到的内容,但是,在罐头内部,还有更多。


该方案有两种形式: CECE+


CE是一种自我评估,通过填写一份在线问卷进行,该问卷随后由IASME审核。如果答复的质量和清晰度足够高,公司将获得证书。如果公司最初未能通过评估,将有几天的时间进行更正并重新提交,无需支付额外费用。


CE+CE的不同之处在于还包括动手技术验证,或者换句话说,提交的信息是通过渗透测试独立验证的。


另一个好处是,一家在英国注册且营业额低于 2000 万英镑的认证公司也有权获得价值高达 25,000 英镑的网络责任保险,而来自国外的公司可能会从认可该认证的经纪人那里获得保险折扣。


如果您认为该计划是一个障碍,一旦克服,也可以保证企业在开展业务时更有信心并提高声誉,那么对于那个特定的年份,您是对的。


任何一种口味的获取成本都可以忽略不计,但企业领导者应该考虑并分配足够的时间来完成评估,这是非常重要的。他们还应该让员工为文化和运营变革做好准备,因为这些变革是满足认证要求所必需的。


不管是否准备好,一旦踏上了安全灌输的冒险之旅,企业就会对这个主题有更深入的了解,并改善安全态势。

一点批评


1- 来自那些想要更多的人

一些安全专业人士希望该计划能够根据评估结果演变为提供不同的灰色阴影,这意味着它应该提供比“已认证”标记更精细的分类。


我在社交媒体上观察到这种批评,并将其支持者归类为那些已经站在障碍的另一边并且在供应链安全评估中遭受尽职调查疲劳的人。他们急切地将球传给 IASME 可能会降低他们公司的成本并获得统一的回应。我想知道 IASME 是否会支持它。


进一步思考后,我也承认那些可能希望与其他认证企业区分开来的人非常可爱的存在。可能是因为他们没有偷工减料来获得认证并相信其他人做到了,或者是因为意识到实现 X 的特定方法实际上提供了 NULL 价值,甚至是因为他们可能知道公司声明合规性,但事实并非如此。


尽管如此,我个人不赞成计划的这种拟议变更,因为我认为应该维持该计划,直到获得认证的公司数量如此之多以至于认证不再起到作用,而不是改变其贫困饥饿任务中期马拉松。


我的推理源于经历过安全贫困并且能够认识到将企业从中解放出来所需的努力水平。因此,虽然我明白每年重新认证不会像第一次那样令人兴奋和改变,但如果几年后它仍然是一家公司持有的唯一安全认证,我会皱眉……

2- 来自那些需要更多的人

另一方面,尽管该计划自 2014 年以来取得了成功,但它继续收到关于信息不足的抱怨,并要求进一步澄清一系列主题。我,我自己,有疑问。


尽管如此,鉴于该计划的目标受众广泛,我发现这种反馈是不可避免的,也是意料之中的,因为即使只是向不同的受众发送一条短消息,人们也无能为力,但希望能获得广泛的共鸣。


然而,这一重要且反复出现的批评明确强调,穷人和误入歧途的人正在寻求帮助并希望做得更好!但它也质疑提高标准是否确实是次优或不成熟的。

3- 来自那些不同意的人

也有一些安全专家质疑该计划的一些细节。这里必须注意和暂停,因为所有安全专业人员都应该轻松掌握挑战的内容。因此,当有人开始大喊大叫以维持不道德领域的做法时,其他人会质疑其背后的真正原因,因为它总是有相同的根本原因:财务成本,而不是缺乏有关风险的知识。


我相信这只是由于确定的成本的权重没有与所获得的权衡相结合而发生的。尽管如此,我认识到,在这里,必须以教育为目标进行一场一场的战斗,以实现共享的启蒙状态,这将是一个缓慢的过程,最好在任何之前通过定制的威胁建模、风险识别和量化来服务治疗(接受、转移、缓解、回避)。


尽管到目前为止我还没有认可所提出的挑战,但受到我的影响范围和知名度的限制,我也认识到该计划有机会提供更多价值并帮助那些愿意以列举如果 Y 可能违反哪些法律的形式进行认证的人和 Z 没有到位。尽管这些可能是英国特有的,但这种见解可能会证明是有益的并且阻力会降低。

即将发生的变化可能会损害您的业务

我对提议的两个更改提出质疑,因为目前所有其他更改都感觉像是改进,但我喜欢自由地重新访问。

1- 该方案将不再要求报告用户设备型号。

我可以想象 IASME 会收到来自拥有大量资产的企业的投诉,抱怨这个过程是多么缓慢和痛苦。我去过那里,但任何提出此投诉的人都会立即质疑公司如何监控、控制和更换上述资产,以及如何做正确的事情来提高公司的安全性。因此,我不会接受这个作为更改的原因。


我倾向于相信这一变化有利于 IASME 和可能的 CE+ 评估公司,他们可能希望降低他们的工作水平,因此愿意降低门槛以允许更灵活的提交。这感觉更接近现实,因为根据被评估组织的规模,这些人投入的时间可能会导致未涵盖的成本。


然而,对我来说,因为不同的型号可能有不同的支持生命周期,并且可能有不同的相关操作系统和固件,所以,这是一个负面的变化。


一个例子是当特定型号已经无法支持不同的安全要求时报告:“我们只使用 Mac”。这混淆了提交的信息。

IASME 请重新考虑!

2- 该方案只需要路由器和防火墙固件报告

这让我很困惑。公司有 wifi 中继器,那些有固件,他们有有固件的服务器和所有其他设备……都有固件。


在这里,我会指责不共享此类信息的虚拟化和云提供商。如果我很接近,那么我会质疑 IASME 对有形资产和无形资产分别提出要求是否更有意义。


不知道设备中使用的固件会影响有关资产所需安全级别的决策。所以这是另一个导致安全性降低的负面变化。


IASME 请重新考虑!


更少的控制不是更好,更少是最坏的。至少在这两种情况下。


降低认证的价值是不对的。



谢谢阅读。您如何看待这些变化?在下面的评论中让我们知道!