在2013年末,爆发了一场大规模的数据泄露事件。黑客窃取了将近7000万消费者的个人信息和信用卡信息,该泄露事件最终造成1.6亿美元是损失并且CEO和CIO引咎辞职。尽管此次事件影响范围广泛,但此类事件却不在少数。
最近,LinkedIn发生了一次大规模的数据泄露事件,官方称这次是2012年的延伸,黑客窃取了超过1亿个用户账户,并在网络上售卖。尽管LinkedIn在2012年的信息首次公开是建议用户修改密码,但是直到四年后企业才决定取消这些已暴露的密码。无独有偶,地下黑市里也曝出了MySpace的用户账户数据,一时间国内外风起云涌。
面对这些状况,企业必须从这些血淋淋的案例中吸取经验。安全泄露事件不仅会导致清算时的财产损失,也会遭到联邦贸易委员会(FTC)的罚款、高管的辞职和名誉的损失。一份德勤报告指出,安全问题是道德问题之后的影响企业声誉的第二大因素。这些安全事件的影响会延续数年,甚至影响企业的股价和产品销售。
因此,对于业务包含敏感数据的企业来说,适当进行网络风险管理实践培训是非常有必要的。
利用安全框架
在几年以前,建立网络风险管理计划是很难创建并实施的,但是现在,有很多框架可以帮助企业建立风险管理体系。国际标准化组织制定了ISO 27000,来指导企业建立并完善信息安全管理系统。美国国家标准与技术研究院(NIST)制定了被美国政府广泛使用的风险管理框架。
2014年,NIST制定了网络安全框架(CSF),该框架被许多组织作为识别和管理日常网络风险的蓝图。CSF的主要优点在于,它可以为组织提供风险基线和易于理解的词汇表——从初级员工到高层,甚至董事会。
CSF允许所有类型和规模的组织从以下五个关键功能区域识别和评估网络风险:
1、识别——什么样的数据和资产需要被保护?
2、保护——有哪些现有的方法可以保护这些资产?
3、检测——怎样才能检测潜在的网络威胁?
4、响应——怎样才能响应安全事件?
5、恢复——怎样从安全事件中恢复?
从这些功能区域识别风险后,组织必须优先考虑和制定风险处理计划。作为计划的一部分,企业有以下选择:
如果为低风险,则忽略
通过不参与引发风险的活动来避免风险
通过投资新的安全技术来修复风险
转移风险(例如网络保险),主要针对出现可能性低,但影响级别高的风险
使用正确的工具
在指定了计划和发展路线之后,企业需要考虑的是如何实现这些网络风险管理策略。第一步是确定实现计划的可用资源。
目前网络安全专家需求量大且雇佣费用高。要找到拥有合适技能的人才十分困难,因此,企业可能需要猎头企业或尽量自动化流程。
企业规模越大,风险和威胁也就越大,手动实现风险管理的方法并不能满足需求,没有自动化和监控工具,企业将面临未能有效测量、不能保持一致且不在处理范围内的风险。自动化风险和合规的技术使企业可以快速且有效地操作框架。
没有合理使用风险管理技术的额外风险是可能会遭遇法律的审判。在泄露事件中,企业需要证明他们采取了合理的措施来积极防护此类事件。温德姆连锁酒店就曾受到过此类影响,在泄露了大量客户信息后,该酒店被FTC以没有安全维护客户信息的罪名起诉。虽然温德姆认为FTC并没有权利规范企业网络安全,而且法院判决也确实没有。
网络风险管理计划的重要性怎么强调都不为过。采取主动的方式来诊断风险可以使企业更好地掌握安全状况,并阻止潜在的威胁。通过制定和实施综合的风险管理计划,企业可以保护内部数据、客户信息,并避免带来深远影响的安全事故。
本文转自d1net(转载)