有朝一日,组织可以在网络攻击发生之前预测并预防它们吗?这样的乌托邦需要以深度学习为驱动力的威胁情报系统。所以现在,每个组织都应该假设有人肯定会攻击他们,并做好相应的准备。

Kevin Mitnick 可以说是世界上最著名的黑客, 他曾说:“你永远无法100%保护自己。你需要做的是尽可能多地保护自己,并将风险降低到可接受的程度。你永远无法消除所有风险。” 风险的存在使得执行IT风险评估对企业至关重要。

要执行有效的数据安全风险评估,组织必须:

1. 识别所有有价值的数据资产

对于公司来说,识别哪些数据资产是有价值的最好方法是了解其业务的性质。公司应该问问自己,它们如何产生收入和利润——确定对其日常运营至关重要的数据。公司应将客户联系信息、产品设计文件、商业机密和路线图文件等内容视为最重要的资产。无论公司认为哪种类型的数据至关重要,他们都必须了解所有这些数据如何在其网络中流动,并确定使用哪些计算机和服务器来存储这些数据。

为了最好地保护这些数据资产,公司需要一个中央风险团队。在中小型企业中,这通常由高层管理人员组成。对于较大的企业公司,可能需要混合风险管理模型,其中每个职能负责人都可以被指定为其部门职能的风险负责人。

2. 估计损失对业务的影响

风险和影响评估是相辅相成的。对于每项有价值的数据资产,组织必须估计损害或损失的相应负面财务影响。除了直接成本外,损失估计还应包括无形成本,例如声誉损失和法律后果。为了统一,必须在团队之间使用通用的文档格式。

3. 确定对业务威胁

威胁是任何有可能对企业的宝贵数据资产造成损害的事物。公司面临的威胁包括自然灾害、电源故障、系统故障、意外的内部人员行为(例如意外删除重要文件)、恶意内部人员行为(例如流氓代理获得特权安全组成员资格)和恶意外部人员行为(例如网络钓鱼攻击、恶意软件、欺骗等)。每家公司都应该让其中央风险团队确定最可能的威胁并相应地制定计划。

4. 分析漏洞

漏洞是公司网络、系统、应用程序甚至流程中的弱点或缺口,可被利用来对业务产生负面影响。漏洞可能是物理性质的(例如旧的和过时的设备),它们可能涉及薄弱的系统配置(例如未修补系统或不遵循最低特权原则),或者它们可能由意识问题引起(例如未经培训的员工)。与确定威胁类似,漏洞分析也最好由中央风险团队完成。团队可能会发现使用扫描工具进行彻底的系统分析很有帮助,渗透测试或道德黑客技术也可用于深入研究。

5. 建立风险管理框架

风险是一种业务结构,但它可以用以下公式表示:风险 = 风险 X 漏洞 X 业务影响。为了降低风险,IT 团队需要最大限度地减少他们面临的威胁、环境中存在的漏洞,或者两者的结合。从业务方面来说,管理层还可能决定评估每个数据资产的业务影响,并采取措施减少其影响。中央风险团队必须为每个有价值的数据资产的潜在损失分配高、中或低风险值 。

使用该流程,公司可以确定需要优先考虑哪些数据资产风险。这是一个高度参与的过程,必须谨慎进行。完成后,公司应针对每个已识别的风险以及每个解决方案的相关成本提出解决方案或补救措施。

框架到位后,公司应该确定他们愿意承担的风险级别。他们是想解决所有风险,还是只想解决确定为高的风险?这个问题的答案因公司而异,解决方案的估计总成本以及预计的投资回报,将对风险偏好产生巨大影响。 

作者:Ram Vaidyanathan

免责声明:凡未注明来源或者来源为网络的信息均转自其它平台,是出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。网站只负责对文章进行整理、排版、编辑,不承担任何法律责任。若有侵权或异议请联系我们删除,谢谢。

发表评论

您的电子邮箱地址不会被公开。