在2013年末,爆發(fā)了一場大規(guī)模的數(shù)據(jù)泄露事件��。黑客竊取了將近7000萬消費者的個人信息和信用卡信息�,該泄露事件最終造成1.6億美元是損失并且CEO和CIO引咎辭職。盡管此次事件影響范圍廣泛���,但此類事件卻不在少數(shù)�����。
在2013年末�����,爆發(fā)了一場大規(guī)模的數(shù)據(jù)泄露事件�。黑客竊取了將近7000萬消費者的個人信息和信用卡信息,該泄露事件最終造成1.6億美元是損失并且CEO和CIO引咎辭職�。盡管此次事件影響范圍廣泛,但此類事件卻不在少數(shù)���。
最近��,LinkedIn發(fā)生了一次大規(guī)模的數(shù)據(jù)泄露事件���,官方稱這次是2012年的延伸,黑客竊取了超過1億個用戶賬戶���,并在網(wǎng)絡(luò)上售賣��。盡管LinkedIn在2012年的信息首次公開是建議用戶修改密碼����,但是直到四年后企業(yè)才決定取消這些已暴露的密碼����。無獨有偶��,地下黑市里也曝出了MySpace的用戶賬戶數(shù)據(jù)�,一時間國內(nèi)外風起云涌�。
面對這些狀況,企業(yè)必須從這些血淋淋的案例中吸取經(jīng)驗����。安全泄露事件不僅會導致清算時的財產(chǎn)損失,也會遭到聯(lián)邦貿(mào)易委員會(FTC)的罰款�����、高管的辭職和名譽的損失����。一份德勤報告指出�,安全問題是道德問題之后的影響企業(yè)聲譽的第二大因素。這些安全事件的影響會延續(xù)數(shù)年�,甚至影響企業(yè)的股價和產(chǎn)品銷售。
因此��,對于業(yè)務(wù)包含敏感數(shù)據(jù)的企業(yè)來說����,適當進行網(wǎng)絡(luò)風險管理實踐培訓是非常有必要的�����。
利用安全框架
在幾年以前���,建立網(wǎng)絡(luò)風險管理計劃是很難創(chuàng)建并實施的,但是現(xiàn)在���,有很多框架可以幫助企業(yè)建立風險管理體系�����。國際標準化組織制定了ISO 27000��,來指導企業(yè)建立并完善信息安全管理系統(tǒng)��。美國國家標準與技術(shù)研究院(NIST)制定了被美國政府廣泛使用的風險管理框架���。
2014年,NIST制定了網(wǎng)絡(luò)安全框架(CSF)����,該框架被許多組織作為識別和管理日常網(wǎng)絡(luò)風險的藍圖��。CSF的主要優(yōu)點在于�,它可以為組織提供風險基線和易于理解的詞匯表——從初級員工到高層�����,甚至董事會��。
CSF允許所有類型和規(guī)模的組織從以下五個關(guān)鍵功能區(qū)域識別和評估網(wǎng)絡(luò)風險:
1��、識別——什么樣的數(shù)據(jù)和資產(chǎn)需要被保護?
2�����、保護——有哪些現(xiàn)有的方法可以保護這些資產(chǎn)?
3��、檢測——怎樣才能檢測潛在的網(wǎng)絡(luò)威脅?
4����、響應——怎樣才能響應安全事件?
5��、恢復——怎樣從安全事件中恢復?
從這些功能區(qū)域識別風險后����,組織必須優(yōu)先考慮和制定風險處理計劃�����。作為計劃的一部分�,企業(yè)有以下選擇:
如果為低風險�����,則忽略
通過不參與引發(fā)風險的活動來避免風險
通過投資新的安全技術(shù)來修復風險
轉(zhuǎn)移風險(例如網(wǎng)絡(luò)保險)���,主要針對出現(xiàn)可能性低���,但影響級別高的風險
使用正確的工具
在指定了計劃和發(fā)展路線之后,企業(yè)需要考慮的是如何實現(xiàn)這些網(wǎng)絡(luò)風險管理策略���。第一步是確定實現(xiàn)計劃的可用資源����。
目前網(wǎng)絡(luò)安全專家需求量大且雇傭費用高�����。要找到擁有合適技能的人才十分困難,因此����,企業(yè)可能需要獵頭企業(yè)或盡量自動化流程。
企業(yè)規(guī)模越大�,風險和威脅也就越大,手動實現(xiàn)風險管理的方法并不能滿足需求�,沒有自動化和監(jiān)控工具,企業(yè)將面臨未能有效測量���、不能保持一致且不在處理范圍內(nèi)的風險��。自動化風險和合規(guī)的技術(shù)使企業(yè)可以快速且有效地操作框架����。
沒有合理使用風險管理技術(shù)的額外風險是可能會遭遇法律的審判����。在泄露事件中,企業(yè)需要證明他們采取了合理的措施來積極防護此類事件��。溫德姆連鎖酒店就曾受到過此類影響�����,在泄露了大量客戶信息后����,該酒店被FTC以沒有安全維護客戶信息的罪名起訴。雖然溫德姆認為FTC并沒有權(quán)利規(guī)范企業(yè)網(wǎng)絡(luò)安全��,而且法院判決也確實沒有�����。
網(wǎng)絡(luò)風險管理計劃的重要性怎么強調(diào)都不為過�。采取主動的方式來診斷風險可以使企業(yè)更好地掌握安全狀況,并阻止?jié)撛诘耐{�。通過制定和實施綜合的風險管理計劃,企業(yè)可以保護內(nèi)部數(shù)據(jù)����、客戶信息,并避免帶來深遠影響的安全事故�。
