1、從業(yè)務(wù)發(fā)展的角度識(shí)別風(fēng)險(xiǎn)
企業(yè)的安全團(tuán)隊(duì)?wèi)?yīng)該準(zhǔn)確理解,開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是為了更好地實(shí)現(xiàn)業(yè)務(wù)發(fā)展目標(biāo)���,因此網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的基礎(chǔ)要求是要從業(yè)務(wù)發(fā)展的角度識(shí)別風(fēng)險(xiǎn)�,了解當(dāng)前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的業(yè)務(wù)環(huán)境����。從業(yè)務(wù)發(fā)展視角識(shí)別現(xiàn)有的安全風(fēng)險(xiǎn)和潛在的安全威脅至關(guān)重要���,這將決定后續(xù)的風(fēng)險(xiǎn)管理工作中需要做多少�����,以及需要保護(hù)的重點(diǎn)是什么����。
2����、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是指企業(yè)根據(jù)其關(guān)鍵業(yè)務(wù)發(fā)展目標(biāo),量化不同網(wǎng)絡(luò)風(fēng)險(xiǎn)的潛在影響以及發(fā)生的可能性����。通過(guò)風(fēng)險(xiǎn)評(píng)估,企業(yè)管理者和安全團(tuán)隊(duì)可以更加合理地分配防護(hù)資源,聚焦于關(guān)鍵性風(fēng)險(xiǎn)��,以最具性價(jià)比的方式將風(fēng)險(xiǎn)控制在企業(yè)可以接受的范圍內(nèi)�����。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估可以借助FAIR等風(fēng)險(xiǎn)量化模型來(lái)實(shí)現(xiàn)���,主要步驟包括風(fēng)險(xiǎn)范圍界定�����、風(fēng)險(xiǎn)識(shí)別�����、風(fēng)險(xiǎn)分析����、風(fēng)險(xiǎn)評(píng)估和記錄報(bào)告等�����。
3�����、定義組織的風(fēng)險(xiǎn)承受能力
除了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,安全團(tuán)隊(duì)還必須確定組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)承受能力����。當(dāng)不影響業(yè)務(wù)發(fā)展的時(shí)候,企業(yè)組織可以接受和承擔(dān)一定程度的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��。如果經(jīng)過(guò)量化評(píng)估的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在可承受的范圍內(nèi)�,企業(yè)的管理者就可以在一定時(shí)期內(nèi)接受該風(fēng)險(xiǎn)����,而將注意力和防護(hù)資源投入到更需要重視的高優(yōu)先級(jí)風(fēng)險(xiǎn)中。需要強(qiáng)調(diào)的是��,企業(yè)在定義網(wǎng)絡(luò)安全風(fēng)險(xiǎn)承受能力的時(shí)候���,應(yīng)該與組織的整體業(yè)務(wù)發(fā)展目標(biāo)保持一致�����。
4�����、制定風(fēng)險(xiǎn)化解策略
有許多途徑��、方法和工具可用于幫助企業(yè)管理和緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���,但沒(méi)有一種策略能夠適合所有企業(yè)�����,也沒(méi)有一種安全工具可以解決所有的問(wèn)題�����。企業(yè)應(yīng)該根據(jù)已識(shí)別風(fēng)險(xiǎn)的關(guān)鍵特征�����,制定適合自己的風(fēng)險(xiǎn)化解策略���,這些策略可能包括實(shí)施技術(shù)控制措施、流程改進(jìn)和安全培訓(xùn)計(jì)劃等����。同時(shí),安全團(tuán)隊(duì)?wèi)?yīng)該利用先進(jìn)的安全技術(shù)工具��,向企業(yè)管理層表明降低風(fēng)險(xiǎn)的必要性和價(jià)值,并確定風(fēng)險(xiǎn)緩解措施的優(yōu)先級(jí)�����。
沒(méi)有絕對(duì)的安全,因此企業(yè)不能在網(wǎng)絡(luò)安全事件發(fā)生時(shí)才被動(dòng)響應(yīng)�����,而是要提前制定安全事件響應(yīng)的策略和計(jì)劃���,盡量減少攻擊事件造成的影響。在此計(jì)劃中�����,組織應(yīng)該明確界定事件響應(yīng)團(tuán)隊(duì)成員的角色和職責(zé)����,并定期進(jìn)行演練和演習(xí),測(cè)試計(jì)劃的有效性����,并對(duì)過(guò)程中所發(fā)現(xiàn)的不足進(jìn)行完善��。
實(shí)戰(zhàn)化背景下的模擬測(cè)試可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足���,同時(shí)梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑����,以便更好地修復(fù)或應(yīng)對(duì)風(fēng)險(xiǎn)。此外���,定期開(kāi)展測(cè)試演練��,作用不僅僅在于發(fā)現(xiàn)安全問(wèn)題�,對(duì)系統(tǒng)開(kāi)發(fā)人員深入了解計(jì)算機(jī)系統(tǒng)也會(huì)大有幫助�����。通過(guò)了解為企業(yè)效力的“壞人”的想法����,有助于防止一些災(zāi)難性的網(wǎng)絡(luò)安全事件發(fā)生,降低企業(yè)業(yè)務(wù)發(fā)展風(fēng)險(xiǎn)�����。
7. 持續(xù)風(fēng)險(xiǎn)監(jiān)控
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是一個(gè)整體性工作,也是一個(gè)持續(xù)的流程�。實(shí)現(xiàn)持續(xù)地網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控對(duì)于發(fā)現(xiàn)新的威脅和漏洞至關(guān)重要。企業(yè)應(yīng)該積極利用自動(dòng)化技術(shù)��,將其量化預(yù)警信息或風(fēng)險(xiǎn)暴露狀況統(tǒng)一整合起來(lái)���,提升企業(yè)預(yù)測(cè)潛在風(fēng)險(xiǎn)的能力����。實(shí)現(xiàn)控制環(huán)境與未知風(fēng)險(xiǎn)之間的協(xié)同��,是開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的核心關(guān)注點(diǎn)之一�。
盡管存在種種技術(shù)漏洞,但人依然是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)�。企業(yè)可以限制用戶對(duì)某些系統(tǒng)和數(shù)據(jù)的訪問(wèn)����,卻難以阻止員工可能會(huì)犯的每個(gè)人為性錯(cuò)誤。因此�����,持續(xù)的員工網(wǎng)絡(luò)安全意識(shí)培訓(xùn)是減小數(shù)字攻擊面最重要的安全控制之一。現(xiàn)代企業(yè)中的每一位員工都應(yīng)該定期接受網(wǎng)絡(luò)安全意識(shí)培訓(xùn)��,以識(shí)別網(wǎng)絡(luò)釣魚等攻擊企圖����,了解哪些數(shù)據(jù)很敏感,了解潛在的風(fēng)險(xiǎn)和漏洞�,并了解如何遵循確保敏感數(shù)據(jù)安全的最佳實(shí)踐。盡管人為性錯(cuò)誤難以避免�,但能通過(guò)適當(dāng)?shù)慕逃团嘤?xùn),可以大大降低導(dǎo)致數(shù)據(jù)泄露危害發(fā)生的可能性�。
9. 供應(yīng)商和第三方風(fēng)險(xiǎn)管理
隨著軟件供應(yīng)鏈攻擊的不斷加劇,企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理不僅需要包括組織內(nèi)部的管理�,還需要定期評(píng)估第三方供應(yīng)商和合作伙伴的安全風(fēng)險(xiǎn)。因?yàn)?���,今天的企業(yè)組織大量依賴于第三方生態(tài)來(lái)共同構(gòu)建產(chǎn)品,并完成對(duì)用戶的服務(wù)交付����,創(chuàng)建一個(gè)有效的TPRM計(jì)劃對(duì)于組織評(píng)估潛在的安全風(fēng)險(xiǎn),管理不斷增長(zhǎng)的數(shù)字攻擊面至關(guān)重要�����。
10. 面對(duì)管理層的匯報(bào)與溝通
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理已經(jīng)成為企業(yè)數(shù)字化發(fā)展中的核心職能,董事會(huì)和管理層對(duì)這項(xiàng)工作的關(guān)注和審查力度也大大增加�。高層領(lǐng)導(dǎo)想知道威脅發(fā)生的情況、投入資金的方向以及如何繼續(xù)改進(jìn)和發(fā)展��。因此����,安全領(lǐng)導(dǎo)者需要能夠清楚地闡述與業(yè)務(wù)目標(biāo)緊密相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃,避免使用技術(shù)術(shù)語(yǔ)����。此外,要讓所有利益相關(guān)者都可以及時(shí)了解組織在網(wǎng)絡(luò)安全方面的計(jì)劃和變動(dòng)��,安全領(lǐng)導(dǎo)者應(yīng)該基于最新的風(fēng)險(xiǎn)信息編制完整的風(fēng)險(xiǎn)管理態(tài)勢(shì)報(bào)告�����。
