安全風險管理，你的企業準備好了嗎？

在2013年末，爆發了一場大規模的資料洩露事件。黑客竊取了将近7000萬消費者的個人資訊和信用卡資訊，該洩露事件最終造成1.6億美元是損失并且ceo和cio引咎辭職。盡管此次事件影響範圍廣泛，但此類事件卻不在少數。

最近，linkedin發生了一次大規模的資料洩露事件，官方稱這次是2012年的延伸，黑客竊取了超過1億個使用者賬戶，并在網絡上售賣。盡管linkedin在2012年的資訊首次公開是建議使用者修改密碼，但是直到四年後企業才決定取消這些已暴露的密碼。無獨有偶，地下黑市裡也曝出了myspace的使用者賬戶資料，一時間國内外風起雲湧。

面對這些狀況，企業必須從這些血淋淋的案例中吸取經驗。安全洩露事件不僅會導緻清算時的财産損失，也會遭到聯邦貿易委員會(ftc)的罰款、高管的辭職和名譽的損失。一份德勤報告指出，安全問題是道德問題之後的影響企業聲譽的第二大因素。這些安全事件的影響會延續數年，甚至影響企業的股價和産品銷售。

是以，對于業務包含敏感資料的企業來說，适當進行網絡風險管理實踐教育訓練是非常有必要的。

利用安全架構

在幾年以前，建立網絡風險管理計劃是很難建立并實施的，但是現在，有很多架構可以幫助企業建立風險管理體系。國際标準化組織制定了iso 27000，來指導企業建立并完善資訊安全管理系統。美國國家标準與技術研究院(nist)制定了被美國政府廣泛使用的風險管理架構。

2014年，nist制定了網絡安全架構（csf），該架構被許多組織作為識别和管理日常網絡風險的藍圖。csf的主要優點在于，它可以為組織提供風險基線和易于了解的詞彙表——從初級員工到高層，甚至董事會。

csf允許所有類型和規模的組織從以下五個關鍵功能區域識别和評估網絡風險:

1、識别——什麼樣的資料和資産需要被保護？

2、保護——有哪些現有的方法可以保護這些資産？

3、檢測——怎樣才能檢測潛在的網絡威脅？

4、響應——怎樣才能響應安全事件？

5、恢複——怎樣從安全事件中恢複？

從這些功能區域識别風險後，組織必須優先考慮和制定風險處理計劃。作為計劃的一部分，企業有以下選擇：

如果為低風險，則忽略

通過不參與引發風險的活動來避免風險

通過投資新的安全技術來修複風險

轉移風險（例如網絡保險），主要針對出現可能性低，但影響級别高的風險

使用正确的工具

在指定了計劃和發展路線之後，企業需要考慮的是如何實作這些網絡風險管理政策。第一步是确定實作計劃的可用資源。

目前網絡安全專家需求量大且雇傭費用高。要找到擁有合适技能的人才十分困難，是以，企業可能需要獵頭企業或盡量自動化流程。

企業規模越大，風險和威脅也就越大，手動實作風險管理的方法并不能滿足需求，沒有自動化和監控工具，企業将面臨未能有效測量、不能保持一緻且不在處理範圍内的風險。自動化風險和合規的技術使企業可以快速且有效地操作架構。

沒有合理使用風險管理技術的額外風險是可能會遭遇法律的審判。在洩露事件中，企業需要證明他們采取了合理的措施來積極防護此類事件。溫德姆連鎖酒店就曾受到過此類影響，在洩露了大量客戶資訊後，該酒店被ftc以沒有安全維護客戶資訊的罪名起訴。雖然溫德姆認為ftc并沒有權利規範企業網絡安全，而且法院判決也确實沒有。

網絡風險管理計劃的重要性怎麼強調都不為過。采取主動的方式來診斷風險可以使企業更好地掌握安全狀況，并阻止潛在的威脅。通過制定和實施綜合的風險管理計劃，企業可以保護内部資料、客戶資訊，并避免帶來深遠影響的安全事故。

本文轉自d1net（轉載）