在根据欧洲数据隐私法分别向万豪国际集团和英国航空公司的母公司开出有史以来金额最高的罚单时,英国信息专员Elizabeth Denham解释称,罚款金额的多少与受到影响的对象无关,主要是看企业机构是否采取了适当的行动措施来保护人们的数据。据报道,考虑到“经济影响和企业的支付能力”,英国信息专员办公室(ICO)最终大幅降低了罚款金额。
从中可以看出,当一家企业机构面临数据泄露或其他网络安全事件时,即使其漏洞数量很少,或者它在安全工具方面进行了充分的投资,ICO的评判标准也并不在于此。其焦点在于企业机构是否根据自身的预算、规模和需求做出了正确的决定。
Gartner预计到2024年,在监管机构判处的网络安全漏洞罚款中,80%的罚款是因为企业机构不能证明其履行了应有的注意义务,与漏洞产生的影响无关。
即刻下载:网络安全IT路线图
如何履行网络安全领域应有的注意义务—CARE指标框架
过去网络安全领域的业务重点及相关投资主要是通过采取某些行动来避免某个结果的产生。例如,为防止未打补丁的安全漏洞引发事故,您可能会使用补丁管理工具。
但事实上,这并不是处理问题的最佳方案。网络安全领域的业务重点及相关投资应该以实现一整套具有一致性、充分性、合理性和有效性(CARE)的成果为基础。因此,Gartner引入了CARE指标框架,该框架可以帮助企业机构评估其网络安全项目的可信性和防御性。
例如,企业机构不应仅仅确认自己是否拥有修补漏洞的工具和程序,还应该衡量与网络安全保护水平直接相关的成果,如使用关键补丁更新关键系统所需的天数等等。
但是,由于当前行业内还未制定一套标准统一的安全指标或关键绩效指标,因此各个企业机构需要发挥灵活性,制定能够满足自身独特需求的指标。
“归根结底,这些都是价值判断。”Gartner高级总监分析师Claude Mandy表示。“CARE框架内的这四个指标可以为企业机构采取最佳行动提供无数的机遇,确保安全项目有好的成果输出,而不仅仅是投入了更多的资金。”
![[enter the alt text for your graphic here]](https://emt.gartnerweb.com/ngw/globalassets/cn/swg/care-frame.jpg "网络安全CARE指标框架")