网络安全计划实施的可实现日历

满足当今金融公司对网络安全的无数要求是一项艰巨的任务，有时甚至是无法实现的任务。该列表的规模和范围不断扩大，记住对技术负责的CTO和业务主管来说，执行测试的频率或何时更改密码的挑战越来越大。

为了帮助指导您的公司实施网络计划，我们概述了安全提醒的基本日历，以帮助您保持进度。按频率列出，这是您应该计划采取这些安全措施的频率：

3个月：修改密码

我们建议至少每90天更改一次网络，系统和应用程序密码，以防止入侵者获得未经授权的访问。请记住：密码的创造力至关重要，密码的重用是很大的禁忌。

3-6个月：进行模拟网络钓鱼活动

网络钓鱼是当今使用的最有效，因此也是最危险的社会工程骗局之一，并有可能诱骗和操纵用户打开门户，共享机密信息，或者在许多情况下进行金融交易。模拟的网络钓鱼活动（无论是由您公司本身还是通过受管理的服务提供商进行）是测试用户对电子邮件威胁的了解并培训他们了解网络的最有效方法。大多数公司选择每季度进行一次网络钓鱼测试，但每半年进行一次钓鱼活动也是司空见惯的。

3-6个月：需要进行远程访问测试以确保业务连续性

作为公司总体业务连续性计划的一部分，公司至少应每季度至少要求各个用户测试其远程访问功能。远程测试应封装连接选项（例如VPN连接，Citrix应用程序访问，Web应用程序等），并且用户应验证其在各个级别上访问公司网络，系统和应用程序的能力。远程测试是BCP计划的关键要素，并确保组织能够在因安全，天气或其他与灾难有关的事件而无法到达办公室地点的情况下正常运行。

6个月：进行漏洞评估

金融公司，包括对冲基金和私募股权公司，每年应两次计划进行漏洞评估，以识别网络内部和外部的潜在漏洞。完成这些评估后，公司可以利用其IT提供商来纠正问题并提出主动改进的建议。

6个月：测试您的灾难恢复系统

如果以及何时发生灾难，其中包括可能导致公司网络或系统陷入危险的网络安全事件，您希望确保始终保护机密数据。为了让您高枕无忧，必须至少每六个月测试一次灾难恢复（DR）系统。全面的故障转移练习在为公司提供灾难恢复经验方面特别有效，但是某些服务也可以通过避免对生产环境造成干扰的方式进行测试。

6-12个月：进行第三方供应商风险评估

如今，供应商风险管理已成为组织的首要任务，特别是对于那些依靠众多外包和托管服务提供商来支持日常业务运营的组织而言。在网络安全方面，必须评估您的第三方供应商，以验证其安全措施和协议是否符合您公司的需求和期望。每年至少一次（如果不是两次），请与您的第三方联系以对其IT系统和网络实践进行审查，并保留更新的策略文档。在当今快节奏的网络环境中，备灾方法正在迅速变化，因此，企业需要及时了解其供应商如何应对和缓解风险。

6-12个月：为管理和/或事件响应团队进行内部桌面练习

就像远程访问和灾难恢复测试一样，通过这些动作，最容易理解用户在网络事件（以及公司）中的经历。桌面练习将高级管理层和/或您的事件响应团队的内部利益相关者召集在一起，进行基于场景的练习，并找出连续性和响应计划中的空白。可以亲自进行或虚拟进行桌面操作，但至少应每年进行一次，以确保对网络威胁态势和业务本身的更改都纳入到演习中。

12个月：完成正式的员工信息安全培训

信息安全意识培训可能是网络安全计划中最被低估和未被充分重视的领域之一。随着社会工程计划的兴起以及黑客将个人用户作为入侵企业网络的一种手段，培训变得至关重要。金融公司至少每年应要求所有员工完成正式的信息安全培训（虚拟或面对面培训）。培训应包括对常见威胁（例如网络钓鱼，恶意软件等）的概述以及减轻上述风险的最佳做法以及对公司安全策略的概述。

12个月：查看和更新​​内部安全文档

说到政策，必须每年至少审查和更新一次政策（并根据组织的变化考虑临时性）。所有公司安全文档应被视为“有效的”，这意味着它们会不断更新以应对不断变化的威胁，遵守新的和现有的合规性计划，并使公司有资格对安全威胁或事件做出响应。至少每年审查一次的文件包括但不限于：

业务连续性计划（BCP）书面信息安全计划（WISP）访问控制策略可接受的使用策略事件响应计划

3年：进行IT硬件刷新

您可能没有考虑添加到日历中的网络安全领域之一是技术更新。即使您已经在利用云服务来访问文件或托管应用程序，您仍然可以安装现场IT设备，而且这种设备不会永远持续下去。实际上，当今大多数技术，包括服务器，工作站，PC等，很幸运能够持续三到四年以上而不会引起任何问题或故障。为避免这些麻烦，公司应着眼于三年的时间评估其硬件并更新现场设备。正如我们在最近的WannaCry事件中看到的那样，旧版系统和软件会给公司的网络增加不必要的风险，并在整个组织内引发更严重的事件。

有关更多信息，请访问www.eci.com/cybersecurity。