您的關(guān)鍵任務(wù)數(shù)據(jù)、客戶信息和人事記錄是否免受網(wǎng)絡(luò)犯罪分子、黑客甚至內(nèi)部濫用或破壞的入侵？如果您確信您的數(shù)據(jù)是安全的，其他公司也有同樣的感覺：

• Target 是美國最大的零售商之一，在 2013 年成為大規(guī)模網(wǎng)絡(luò)攻擊的受害者，1.1 億客戶的個人信息和 4000 萬條銀行記錄被泄露。這對公司的形象造成了長期損害，并支付了超過 1800 萬美元的和解金。
• 著名的信貸公司 Equifax 在 2017 年 7 月被發(fā)現(xiàn)，歷時數(shù)月遭到攻擊。網(wǎng)絡(luò)竊賊竊取了超過 1.43 億客戶的敏感數(shù)據(jù)和 200,000 個信用卡號碼。

這些只是導(dǎo)致大量罰款和和解的高度公開攻擊的例子。更何況，對品牌形象和公眾認(rèn)知的損害。卡巴斯基實驗室的網(wǎng)絡(luò)安全研究顯示，2018 年全球發(fā)生 7.58 億次惡意網(wǎng)絡(luò)攻擊和安全事件，其中三分之一起源于美國。您如何保護您的業(yè)務(wù)和信息資產(chǎn)免受安全事件的影響？解決方案是制定戰(zhàn)略計劃，對信息安全風(fēng)險管理做出承諾。

什么是信息安全風(fēng)險管理？定義

信息安全風(fēng)險管理 (ISRM) 是管理與使用信息技術(shù)相關(guān)的風(fēng)險的過程。

換句話說，組織需要：

• 識別安全風(fēng)險，包括計算機安全風(fēng)險的類型。
• 確定關(guān)鍵資產(chǎn)的業(yè)務(wù)“系統(tǒng)所有者”。
• 評估企業(yè)風(fēng)險承受能力和可接受的風(fēng)險。
• 制定網(wǎng)絡(luò)安全事件響應(yīng)計劃。

建立您的 風(fēng)險管理策略

風(fēng)險評估

您的風(fēng)險概況包括對所有信息系統(tǒng)的分析和對您業(yè)務(wù)威脅的確定：

• 網(wǎng)絡(luò)安全風(fēng)險
• 數(shù)據(jù)和 IT 安全風(fēng)險
• 現(xiàn)有的組織安全控制

全面的 IT 安全評估包括數(shù)據(jù)風(fēng)險、數(shù)據(jù)庫安全問題分析、數(shù)據(jù)泄露的可能性、網(wǎng)絡(luò)和物理漏洞。

風(fēng)險處理

通過多種方法修復(fù)漏洞所采取的行動：

• 風(fēng)險接受
• 風(fēng)險規(guī)避
• 風(fēng)險管理
• 事件管理
• 事件響應(yīng)計劃

開發(fā)企業(yè)解決方案需要對企業(yè)信息系統(tǒng)的安全威脅進行全面分析。風(fēng)險評估和風(fēng)險處理是迭代過程，需要在您的業(yè)務(wù)的多個領(lǐng)域投入資源：人力資源、IT、法律、公共關(guān)系等。并非所有在風(fēng)險評估中識別的風(fēng)險都會在風(fēng)險處理中得到解決。有些將被確定為可接受或低影響的風(fēng)險，不需要立即制定治療計劃。您的信息安全風(fēng)險評估有多個階段需要解決。

安全風(fēng)險評估的 6 個階段

美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)提供了采用風(fēng)險管理框架的有用指南。該自愿框架概述了可能適用于您的業(yè)務(wù)的 ISRM 計劃的各個階段。

1. 識別——數(shù)據(jù)風(fēng)險分析

此階段是識別您的數(shù)字資產(chǎn)的過程，其中可能包含各種信息：

必須根據(jù) Sarbanes-OxleyHealthcare 記錄控制的財務(wù)信息，要求通過應(yīng)用《健康保險流通與責(zé)任法案》（HIPAA ）保密

公司機密信息，例如產(chǎn)品開發(fā)和商業(yè)秘密

可能使員工面臨身份盜竊法規(guī)等網(wǎng)絡(luò)安全風(fēng)險的人員數(shù)據(jù)

對于那些處理信用卡交易的人，符合 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)

在此階段，您不僅要評估數(shù)據(jù)丟失或被盜的潛在風(fēng)險，還要確定要采取的步驟的優(yōu)先級，以盡量減少或避免與每種數(shù)據(jù)類型相關(guān)的風(fēng)險。

識別階段的結(jié)果是了解您的主要信息安全風(fēng)險，并評估您已經(jīng)采取的任何控制措施以減輕這些風(fēng)險。此階段的分析揭示了以下數(shù)據(jù)安全問題：

潛在威脅——物理、環(huán)境、技術(shù)和人員相關(guān)

控制措施已經(jīng)到位——安全的強密碼、物理安全、技術(shù)的使用、網(wǎng)絡(luò)訪問

應(yīng)該或必須保護和控制的數(shù)據(jù)資產(chǎn)

這包括按保密級別、合規(guī)性法規(guī)、財務(wù)風(fēng)險和可接受的風(fēng)險級別對安全風(fēng)險管理數(shù)據(jù)進行分類。

2. 保護——資產(chǎn)管理

一旦您意識到自己的安全風(fēng)險，您就可以采取措施保護這些資產(chǎn)。

這包括各種流程，從實施安全策略到安裝提供高級數(shù)據(jù)風(fēng)險管理功能的復(fù)雜軟件。

• 培訓(xùn)員工正確處理機密信息的安全意識。
• 實施訪問控制，以便只有真正需要信息的人才能訪問。
• 定義所需的安全控制措施，以最大限度地減少安全事件的風(fēng)險。
• 對于每個已識別的風(fēng)險，建立相應(yīng)的業(yè)務(wù)“所有者”以獲得對提議的控制和風(fēng)險承受能力的支持。
• 創(chuàng)建信息安全官職位，重點關(guān)注數(shù)據(jù)安全風(fēng)險評估和風(fēng)險緩解。

3. 實施

您的實施階段包括采用正式政策和數(shù)據(jù)安全控制。

這些控制將包括各種數(shù)據(jù)管理風(fēng)險方法：

• 審查已識別的安全威脅和現(xiàn)有控制
• 為威脅檢測和遏制創(chuàng)建新的控制措施
• 選擇網(wǎng)絡(luò)安全工具來分析實際威脅和企圖威脅
• 安裝和實施用于警報和捕獲未經(jīng)授權(quán)訪問的技術(shù)

4. 安全控制評估

您的企業(yè)采用的現(xiàn)有和新的安全控制措施都應(yīng)接受定期審查。

• 驗證警報是否路由到正確的資源以便立即采取行動。
• 確保在添加或更新應(yīng)用程序時進行持續(xù)的數(shù)據(jù)風(fēng)險分析。
• 應(yīng)定期測試網(wǎng)絡(luò)安全措施的有效性。如果您的組織包括審計職能，是否已審查和批準(zhǔn)控制？
• 是否采訪了數(shù)據(jù)業(yè)務(wù)所有者（利益相關(guān)者）以確保風(fēng)險管理解決方案是可接受的？它們是否適合相關(guān)的漏洞？

5.信息安全系統(tǒng)授權(quán)

既然您已經(jīng)全面了解了您的關(guān)鍵數(shù)據(jù)、定義了威脅并為您的安全管理流程建立了控制，那么您如何確保其有效性？

授權(quán)階段將幫助您做出此決定：

• 是否已將持續(xù)的威脅通知給正確的人？這是否及時完成？
• 查看您的控件生成的警報——電子郵件、文檔、圖表等。誰在跟蹤對警告的響應(yīng)？

這個授權(quán)階段不僅要檢查誰被告知，還要檢查采取了哪些行動，以及采取多快的行動。當(dāng)您的數(shù)據(jù)存在風(fēng)險時，反應(yīng)時間對于最大程度地減少數(shù)據(jù)被盜或丟失至關(guān)重要。

6. 風(fēng)險監(jiān)控

采用信息風(fēng)險管理框架對于為您的技術(shù)資產(chǎn)提供安全環(huán)境至關(guān)重要。

實施復(fù)雜的軟件驅(qū)動的控制和警報管理系統(tǒng)是風(fēng)險處理計劃的有效部分。

持續(xù)監(jiān)測和分析至關(guān)重要。網(wǎng)絡(luò)竊賊每天都在開發(fā)攻擊您的網(wǎng)絡(luò)和數(shù)據(jù)倉庫的新方法。為了跟上這種猛烈的活動，您必須定期重新訪問您的報告、警報和指標(biāo)。

創(chuàng)建有效的安全風(fēng)險管理計劃

擊敗網(wǎng)絡(luò)犯罪分子和阻止內(nèi)部威脅是一個具有挑戰(zhàn)性的過程。為您的企業(yè)風(fēng)險管理帶來數(shù)據(jù)完整性和可用性對于您的員工、客戶和股東來說至關(guān)重要。創(chuàng)建您的風(fēng)險管理流程并采取戰(zhàn)略措施，使數(shù)據(jù)安全成為開展業(yè)務(wù)的基本組成部分。

總之，最佳實踐包括：

• 實施技術(shù)解決方案，在數(shù)據(jù)受到威脅之前檢測和消除威脅。
• 建立問責(zé)制安全辦公室。
• 確保遵守安全策略。
• 使數(shù)據(jù)分析成為 IT 和業(yè)務(wù)利益相關(guān)者之間的協(xié)作工作。
• 確保警報和報告有意義且有效路由。

進行完整的 IT 安全評估和管理企業(yè)風(fēng)險對于識別漏洞問題至關(guān)重要。制定全面的信息安全方法。