本文讲的是 基于风险评估来做安全对企业意味着什么?,随着网络安全风险在数量和复杂度上的提升,公司企业需要从响应事件转变到发现事件以事先预防上来。
发展出健壮的基于风险的安全方法,需要专注于支持企业为了能预防、检测并相应攻击而进行信息安全威胁优先级划分、理解用于攻击的技术、评估控制的能力。不了解这一点,企业便难以确定对特定威胁的暴露程度,不清楚自身网络事件响应计划是否是结构化并足以在事发时解决威胁的。
保护你最敏感的信息
高官们十分熟悉网络空间的巨大好处,以及互联网和今天不断增长的联网设备是如何极大增长创新、合作、效率、竞争力和客户承诺的。然而,不幸的是,这些高管中很多人都在风险与回报的评估上挣扎非常。
当今时代,公司企业必须做的一件事是,确保具有标准安全措施。信息安全论坛(ISF)《良好实践标准》便是这方面指南的一个例子。
该《标准》被许多跨国公司用作信息安全的主要参考。它解决威胁和风险的快速进化,以及公司响应诸如网络犯罪、黑客主义、BYOD、云、内部人和间谍等活动带来的不断升级的安全威胁的需求。因而,该《标准》帮助ISF及其成员保持住在信息安全良好实践上的领先优势。
建立风险评估过程
ISF将信息风险评估定义成评估潜在商业影响,评估威胁和漏洞,以及选择合适的措施以达到企业信息安全要求的过程。
管理信息风险对所有企业的战略、计划和目标的实施都十分关键。因此,信息风险管理只有在能让企业达成这些目标,确保企业迈向成功,面对未知事件有应对能力的时候,才具有重大意义,所以,一家企业的风险管理活动,无论是企业范围内的协同项目还是仅在部门层面上的,都必须包含有对可能妨碍成功的信息风险的评估。
推荐查阅的一份补充材料是ISF的《威胁雷达》。《威胁雷达》标绘了针对潜在影响级别管理威胁的能力,有助于确定威胁对于特定企业的相对重要性。它还能用箭头示意出某段时间内可能会发生的任何可能的改变。
有必要提醒一点:防住所有威胁是不现实的。因而,企业需要紧密关注自身弹性:有哪些计划和安排可以最小化影响,加快恢复,从事件中学习经验教训,在未来进一步最小化不良影响。
练好兵
很多企业认识到了自身员工就是最大的资产。但是,他们依然没有意识到保护信息安全中人类因素的必要性。基本上,人本身应该是企业的最强控制。
然而,与简单地让人们意识到自身信息安全责任和相应的响应方法不同,公司企业应该将能使员工行为成为一种习惯和公司信息安全文化一部分的积极信息安全行为嵌入进来。尽管很多公司企业具有通常被称为‘安全意识’的合规活动,真正的驱动力却应该是风险,以及不断改变的员工行为能如何减低风险。
事件曝光会比数据失窃本身更具破坏性这种情况,绝对会摧毁客户信任。然而,预先谋划却常常缺乏,有技术背景的公共关系部门的服务同样缺乏。一定要仔细考虑响应方式,因为一旦曝光,你的公司是控制不了消息传播的。最好是与你的公共关系公司进行一些模拟,这样你在响应数据泄露事件时可以准备得更好一点。
注重网络弹性的需求
公司企业运转在一个网络越来越发达的世界,传统风险管理在处理来自网络空间活动的风险上显然不够灵活。简单说来,企业风险管理必须被扩展,要有建立在准备基础之上的风险弹性,能从企业承受力和风险属性上评估威胁界面。
随着全球公司、政府和经济体变得更加相互依赖,知道怎样打造网络弹性企业将会比网络安全更为关键。我们不再躲在防渗墙后,而是作为相互联系的整体运作。吸收冲击和奋勇进取的力量,对在网络空间及其他方面具备竞争优势和成长力都是不可或缺的。