每年都會帶來新的網絡安全威脅、數據泄露、攻擊媒介和以前未知的漏洞。網絡安全風險管理采用現實世界風險管理的理念，并將其應用于 網絡風險。在國際標準化組織（ISO）風險定義為“對目標的不確定性的影響。”風險管理是識別、評估和應對風險的持續過程。要管理風險，您必須評估事件的可能性和潛在影響，然后確定處理風險的最佳方法，例如避免、轉移、接受或減輕風險。

為了減輕網絡安全風險，您必須最終確定要應用哪些類型的安全控制（預防、阻止、檢測、糾正等）。問題是，并非所有風險都可以消除，您也沒有無限的預算或人員來應對每種風險。您可以實施一些實用策略來降低網絡安全風險。一個強大的網絡安全風險管理流程是以一種具有成本效益并有效利用有限資源的方式管理不確定性的影響。理想情況下，風險管理有助于及早識別風險并實施適當的緩解措施，以防止事件或減輕其影響。

制定網絡風險管理策略的15個技巧

1. 建立風險管理文化

領導者必須在整個組織中建立網絡安全和風險管理文化。通過定義治理結構并傳達意圖和期望，領導者和經理可以確保適當的員工參與、問責制和培訓。網絡攻擊的平均成本 超過 110 萬美元，因此必須建立風險管理文化。除了財務成本之外，還有重大的業務影響——54% 的公司生產力下降，43% 的客戶體驗不佳，37% 的品牌聲譽受損。數據泄露的成本激增， 全球平均成本達到 400 萬美元，美國達到 819 萬美元。這就是為什么在整個組織中建立以網絡安全為中心的文化，從兼職員工到董事會成員，是風險管理的基礎。

2. 確保適當的網絡衛生

實施良好的網絡衛生實踐是網絡風險管理的起點。網絡衛生是 相當于公共衛生文獻中個人衛生概念的 網絡安全。歐盟 網絡和信息安全局 (ENISA) 指出，“網絡衛生應與個人衛生一樣被看待，一旦適當地融入一個組織，將是簡單的日常工作、良好的行為和偶爾的檢查，以確保該組織的在線健康狀況處于最佳狀態"。

我們相信良好的網絡衛生實踐可以創造出 強大的安全態勢，通過安全評級來衡量 。較高的安全等級，更好的安全實踐，以及你可以更好的防止數據泄露，網絡攻擊，網絡釣魚，惡意軟件，勒索軟件，個人信息的暴露，和其他 網絡威脅。

3. 確保您遵守相關規定

風險管理，尤其是第三方風險管理和供應商風險管理，越來越成為監管合規要求的一部分。在您從事醫療保健 (HIPAA) 或金融服務 ( CPS 234、PCI DSS、 23 NYCRR 500 )工作時尤其如此。話雖如此，GDPR、LGPD、 SHIELD Act、 PIPEDA、 CCPA和 FIPA等一般數據保護法的引入 意味著大多數組織都有風險管理要求。

4. 分配責任

總體而言，網絡安全和企業風險管理的負擔不能完全由您的 IT 安全團隊承擔。盡管網絡安全專業人員盡最大努力確保考慮到所有風險，但沒有整個組織的參與，任何安全計劃都無法成功實施。您的 信息安全策略 必須確保每位員工都了解潛在風險，尤其是 社會工程攻擊， 無論它們是 網絡釣魚、傳播惡意軟件的電子郵件附件，還是濫用訪問控制和 權限提升。通常只需一個小錯誤，您的 信息安全、 網絡安全或數據安全就會受到威脅。

5.注意你的威脅環境

首席信息安全官通常不會考慮他們工作的環境。組織應該考慮投資于 OPSEC 和社交媒體培訓，為他們的知名高管提供服務。網絡犯罪分子越來越多地使用從 LinkedIn 或 Facebook 等公共資源收集的信息來發動復雜的捕鯨攻擊。捕鯨攻擊是一種 針對高級管理人員（如 CEO 或 CFO）的網絡釣魚攻擊，目的是竊取 公司的敏感信息。這可能包括財務信息或員工的 個人信息。在某些情況下，詐騙者可能會冒充 CEO 或其他公司官員，操縱受害者授權向離岸銀行賬戶進行大額電匯或訪問安裝惡意軟件的欺騙性網站 。

6.投資安全意識培訓

要實施您的網絡安全計劃，您需要經過全面培訓的各級員工，他們能夠識別風險并運行減輕這些風險所需的流程和程序。一個良好的安全意識計劃應該讓員工了解有關使用 IT 資產和敏感數據的公司政策和程序。如果員工認為他們發現了安全威脅，他們應該知道與誰聯系，并被告知哪些數據不應該通過電子郵件公開。任何組織都需要定期培訓，尤其是那些嚴重依賴第三方供應商或臨時員工的組織。美國國家標準與技術研究院 (NIST) 有一本出色的出版物，其中包含模板和指南，說明NIST SP 800-50 中的安全意識培訓計劃應包含哪些內容 。

7. 分享信息

安全是一項團隊運動。所有利益相關者都必須意識到風險，尤其是跨部門共享的風險。必須將有關您的組織擔心的網絡安全風險的信息傳達給所有適當的利益相關者，尤其是參與決策的利益相關者。每個人都需要了解網絡攻擊的潛在業務影響以及它們如何幫助防止它們。信息共享工具，例如相關指標的儀表板，可以讓利益相關者了解并參與其中。考慮投資一種 安全評級工具 ，該工具可以提供非技術利益相關者可以理解的單一、易于理解的指標。

8. 實施網絡安全框架

為您的組織實施適當的網絡安全框架非常重要。這通常由您的行業采用的標準或法規要求決定。考慮到這一點，最常采用的網絡安全框架是：

• 支付卡行業數據安全標準 (PCI DSS)：一種信息安全標準，適用于處理來自主要信用卡計劃的品牌信用卡的組織。
• ISO 27001： 最著名和使用最廣泛的信息安全標準之一，是 ISO/IEC 27000 系列標準的一部分。它由國際標準化組織 (ISO) 和國際電工委員會 (IEC) 出版。
• CIS 關鍵安全控制：一組針對網絡安全的優先行動 ，形成一套 深度防御 的特定和可操作的最佳實踐，以減輕最常見的 網絡攻擊。獨聯體控制的一個主要好處是它們優先考慮并專注于少數大大降低網絡安全風險的行動 。 在此處閱讀有關 CIS 控制的更多信息。
• NIST 網絡安全框架： 一個基于美國私營部門組織的現有標準、指南和實踐的框架，用于更好地管理和降低網絡安全風險。該框架越來越多地被采用為最佳實踐，截至 2015 年有 30% 的美國組織使用它，預計到2020 年將上升到 50%。 在此處閱讀有關 NIST 網絡安全框架的更多信息。

9. 優先考慮網絡安全風險

您的組織的預算和人員有限。要確定風險和響應的優先級，您需要一些信息，例如隨時間變化的趨勢、潛在影響、影響的可能性以及風險何時可能實現（近期、中期、長期）。簡而言之，您無法防御所有可能的威脅。

10. 鼓勵不同的觀點

風險往往是從單一來源的單一觀點看待的，例如 滲透測試、人工智能、機器學習算法、個人經驗或公司歷史的結果。問題是網絡犯罪分子很少有同樣的觀點。惡意行為者更有可能跳出框框思考或使用您的外部 安全態勢 來識別系統中您可能沒有考慮過的弱點。出于這個原因，鼓勵所有學科的團隊成員思考和爭論不同的攻擊場景是很重要的。這種多樣化的思維有助于識別更多的風險和潛在的情景。

11.強調速度

當您的組織面臨風險時，快速響應可以將影響降至最低。及早識別高風險可以幫助您的團隊在被利用之前開始補救過程。這對于敏感數據暴露和憑據泄露尤其重要，它是世界上最好的數據泄漏檢測引擎。例如，我們能夠在 30 分鐘內檢測到 AWS 工程師在 GitHub 存儲庫中公開的數據。我們向 AWS 報告了它，并且回購協議在同一天獲得了保護。該存儲庫包含個人身份文件和系統憑證，包括密碼、AWS 密鑰對和私鑰。

我們之所以能夠做到這一點，是因為我們在開放和深層網絡上主動發現暴露的數據集，搜索開放的 S3 存儲桶、公共 Github 存儲庫以及不安全的 RSync 和 FTP 服務器。我們的數據泄漏發現引擎不斷搜索客戶提供的關鍵字列表，并由我們的分析師團隊使用從多年違規研究中收集的專業知識和技術不斷完善。

12. 制定可重復的風險評估流程

一個網絡安全風險評估 是關于理解，管理，控制，和整個組織的減輕網絡風險。可重復的流程是任何組織的風險管理戰略和數據保護工作的關鍵部分。

首先，您需要審核您的數據以回答以下問題：

• 我們收集什么數據？
• 我們如何以及在哪里存儲這些數據？
• 我們如何保護和記錄數據？
• 我們將數據保留多長時間？
• 誰可以在內部和外部訪問數據？
• 我們存儲數據的地方是否得到妥善保護？
• 然后，您將定義風險評估的參數。這里有幾個很好的問題可以幫助您做出決定：
• 評估的目的是什么？
• 評估的范圍是什么？
• 是否有任何我應該注意的可能影響評估的優先事項或限制？
• 我需要訪問組織中的誰來獲取我需要的所有信息？
• 組織使用什么風險模型進行風險分析？

13. 實施事件響應計劃

事件響應計劃是一組書面說明，概述了您的組織對數據泄露、 數據泄露、 網絡攻擊 和安全事件的響應。實施事件響應計劃很重要，因為它概述了如何最大限度地減少安全事件的持續時間和影響、識別關鍵利益相關者、簡化 數字取證、縮短恢復時間、減少負面宣傳和客戶流失。即使是像惡意軟件 感染這樣的小型網絡安全事件，如果不加以控制，也會滾雪球般 演變成更大的問題，最終導致 數據泄露、數據丟失和業務運營中斷。

14. 不要忘記您的第三方和第四方供應商

請記住，您的網絡風險管理責任并不僅限于您的內部信息技術資產。您需要確保您的第三方供應商及其供應商（第四方）投資于風險緩解。這稱為 供應商風險管理 或 第三方風險管理。第三方風險和第四方風險管理 必須是您整體網絡風險管理戰略的一部分。

15. 使用技術降低網絡風險管理的運營開銷

安全評級是立即識別高風險供應商和內部資產的好方法。它們是組織安全狀況的數據驅動、客觀和動態的衡量標準。正如信用評級和 FICO 評分旨在提供對信用風險的量化衡量一樣，安全評級旨在提供對網絡風險的量化衡量。就像信用評級一樣，即使是非技術利益相關者也可以輕松評估特定供應商或資產的安全風險。關鍵思想是安全等級越高，組織的安全狀況就越好。