即使是最熟練的團隊也會發現，管理網絡安全是一件非常具有挑戰的事情。在這個不斷變化的環境中，團隊最關鍵的技能是什么?
　　更廣泛地說，應對網絡安全風險的團隊主要進行操作，更多的是技術性的工作。長期以來，這一領域一直被視為純粹的IT領域，企業已經并將繼續提供技術資源。今天有待彌補的是網絡安全風險的組織、治理和管理，這些都是需要被納入企業主流的技能中。

　　網絡攻擊者的方法和目標是如何演變的，這對企業的戰略意味著什么?

　　網絡攻擊者迅速演變，預料到公司已經采取和將要采取的措施。網絡攻擊者不斷識別和監控受害者，使他們能夠領先一步。就公司而言，它們需要針對自己的保護戰略，保護敏感的東西，隔離關鍵資產，以避免鼓勵錯誤的大規模監控保護。

　　主動作為是降低網絡安全風險的關鍵，公司應該實施哪些積極的措施?

　　•確保公司意識到其安全需求，并通過讓業務經理參與來明確定義這些需求：此行動的主要目標是針對要保護的資產。

　　•根據這一需求的表達，核實遵守程度：滿足這一需求所需的安全措施是否得到正確應用?

　　•這只涉及對你的信息系統進行差距分析，以確定已經應用的措施的成熟程度。

　　•這些措施是否符合最新水平、符合公司標準(監管或內部標準)?

　　•根據這些結果，模擬風險，以檢查公司是否可能受到攻擊。

　　•定義了風險情景及其概率水平。對最有可能出現的情況進行優先排序，以便采取糾正措施。

　　合規性如何適應更廣泛的網絡安全風險管理戰略?它是可靠的網絡安全戰略的推動者還是副產品?

　　合規無疑是堅實的網絡安全戰略背后的驅動力之一。

　　公司必須不斷質疑自己對安全標準的遵守程度。這種以遵守為基礎的方法將促進持續改進進程的實施。成功恢復的制勝解決方案。

　　你能談談一些影響公司如何管理網絡安全風險的全球法規，以及如何在端到端保護戰略中考慮這些風險嗎?

　　到目前為止，唯一真正產生影響并提高所有領域和規模企業意識的法規是GDPR，即保護歐洲公民個人數據的法規。這項始于2018年的規定撼動了局面。公司被迫知道他們需要保護哪些數據，數據存儲在哪里，以及如何保護數據。因此，公司已經開始認真對待安全問題，并了解其中的利害關系。

　　在安全方面，監管是提高公司成熟度的好方法。即將出臺的歐洲法規NIS2和DORA將產生重大影響。它們將影響很大一部分業務，并將在組織、職能和運營級別解決端到端信息安全問題。這就是它變得有趣的地方!

　　對于希望改善網絡安全風險端到端管理的企業，你有什么建議?

　　為了提供應對其面臨的挑戰的安全，公司需要務實，確保必要和關鍵的東西，并確定其行動的優先順序，你不可能保證所有東西的安全。風險分析必須是一個基本的工具，正是這種方法指導良好的安全做法。購買網絡安全工具而不知道在哪里應用這些工具是沒有意義的。

　　•確定你的關鍵資產。

　　•檢查你的合規水平。

　　•模擬和分析你的風險。

　　•根據已確定的風險采取必要措施。

　　•監測與這些措施有關的行動計劃。