搜索歷史

熱搜詞

原創(chuàng)

活動

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁 >互聯(lián)網(wǎng)?IT > 安全 > 數(shù)據(jù)安全 > 正文

安全風(fēng)險管理，你的企業(yè)準(zhǔn)備好了嗎？

來源：FreeBuf.COM ：安小白 2016-06-15 10:47:23

在2013年末，爆發(fā)了一場大規(guī)模的數(shù)據(jù)泄露事件。黑客竊取了將近7000萬消費(fèi)者的個人信息和信用卡信息，該泄露事件最終造成1.6億美元是損失并且CEO和CIO引咎辭職。盡管此次事件影響范圍廣泛，但此類事件卻不在少數(shù)。

最近，LinkedIn發(fā)生了一次大規(guī)模的數(shù)據(jù)泄露事件，官方稱這次是2012年的延伸，黑客竊取了超過1億個用戶賬戶，并在網(wǎng)絡(luò)上售賣。盡管LinkedIn在2012年的信息首次公開是建議用戶修改密碼，但是直到四年后企業(yè)才決定取消這些已暴露的密碼。無獨(dú)有偶，地下黑市里也曝出了MySpace的用戶賬戶數(shù)據(jù)，一時間國內(nèi)外風(fēng)起云涌。

面對這些狀況，企業(yè)必須從這些血淋淋的案例中吸取經(jīng)驗(yàn)。安全泄露事件不僅會導(dǎo)致清算時的財產(chǎn)損失，也會遭到聯(lián)邦貿(mào)易委員會(FTC)的罰款、高管的辭職和名譽(yù)的損失。一份德勤報告指出，安全問題是道德問題之后的影響企業(yè)聲譽(yù)的第二大因素。這些安全事件的影響會延續(xù)數(shù)年，甚至影響企業(yè)的股價和產(chǎn)品銷售。

因此，對于業(yè)務(wù)包含敏感數(shù)據(jù)的企業(yè)來說，適當(dāng)進(jìn)行網(wǎng)絡(luò)風(fēng)險管理實(shí)踐培訓(xùn)是非常有必要的。

利用安全框架

在幾年以前，建立網(wǎng)絡(luò)風(fēng)險管理計劃是很難創(chuàng)建并實(shí)施的，但是現(xiàn)在，有很多框架可以幫助企業(yè)建立風(fēng)險管理體系。國際標(biāo)準(zhǔn)化組織制定了ISO 27000，來指導(dǎo)企業(yè)建立并完善信息安全管理系統(tǒng)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定了被美國政府廣泛使用的風(fēng)險管理框架。

2014年，NIST制定了網(wǎng)絡(luò)安全框架(CSF)，該框架被許多組織作為識別和管理日常網(wǎng)絡(luò)風(fēng)險的藍(lán)圖。CSF的主要優(yōu)點(diǎn)在于，它可以為組織提供風(fēng)險基線和易于理解的詞匯表——從初級員工到高層，甚至董事會。

CSF允許所有類型和規(guī)模的組織從以下五個關(guān)鍵功能區(qū)域識別和評估網(wǎng)絡(luò)風(fēng)險:

1、識別——什么樣的數(shù)據(jù)和資產(chǎn)需要被保護(hù)?

2、保護(hù)——有哪些現(xiàn)有的方法可以保護(hù)這些資產(chǎn)?

3、檢測——怎樣才能檢測潛在的網(wǎng)絡(luò)威脅?

4、響應(yīng)——怎樣才能響應(yīng)安全事件?

5、恢復(fù)——怎樣從安全事件中恢復(fù)?

從這些功能區(qū)域識別風(fēng)險后，組織必須優(yōu)先考慮和制定風(fēng)險處理計劃。作為計劃的一部分，企業(yè)有以下選擇：

如果為低風(fēng)險，則忽略

通過不參與引發(fā)風(fēng)險的活動來避免風(fēng)險

通過投資新的安全技術(shù)來修復(fù)風(fēng)險

轉(zhuǎn)移風(fēng)險(例如網(wǎng)絡(luò)保險)，主要針對出現(xiàn)可能性低，但影響級別高的風(fēng)險

使用正確的工具

在指定了計劃和發(fā)展路線之后，企業(yè)需要考慮的是如何實(shí)現(xiàn)這些網(wǎng)絡(luò)風(fēng)險管理策略。第一步是確定實(shí)現(xiàn)計劃的可用資源。

目前網(wǎng)絡(luò)安全專家需求量大且雇傭費(fèi)用高。要找到擁有合適技能的人才十分困難，因此，企業(yè)可能需要獵頭企業(yè)或盡量自動化流程。

企業(yè)規(guī)模越大，風(fēng)險和威脅也就越大，手動實(shí)現(xiàn)風(fēng)險管理的方法并不能滿足需求，沒有自動化和監(jiān)控工具，企業(yè)將面臨未能有效測量、不能保持一致且不在處理范圍內(nèi)的風(fēng)險。自動化風(fēng)險和合規(guī)的技術(shù)使企業(yè)可以快速且有效地操作框架。

沒有合理使用風(fēng)險管理技術(shù)的額外風(fēng)險是可能會遭遇法律的審判。在泄露事件中，企業(yè)需要證明他們采取了合理的措施來積極防護(hù)此類事件。溫德姆連鎖酒店就曾受到過此類影響，在泄露了大量客戶信息后，該酒店被FTC以沒有安全維護(hù)客戶信息的罪名起訴。雖然溫德姆認(rèn)為FTC并沒有權(quán)利規(guī)范企業(yè)網(wǎng)絡(luò)安全，而且法院判決也確實(shí)沒有。

網(wǎng)絡(luò)風(fēng)險管理計劃的重要性怎么強(qiáng)調(diào)都不為過。采取主動的方式來診斷風(fēng)險可以使企業(yè)更好地掌握安全狀況，并阻止?jié)撛诘耐{。通過制定和實(shí)施綜合的風(fēng)險管理計劃，企業(yè)可以保護(hù)內(nèi)部數(shù)據(jù)、客戶信息，并避免帶來深遠(yuǎn)影響的安全事故。

編輯：閆春春

關(guān)鍵字：數(shù)據(jù)安全