点击上方蓝字关注伏宸区块链安全实验室
网络安全风险管理是指识别、评估企业网络信息系统中的缺陷和风险隐患,并采取相应的安全控制以防止网络威胁,这是一个持续的过程,会随着威胁的发展而不断优化调整。网络安全风险管理和网络安全防护是两个密切相关但不可互换的概念,网络安全防护侧重于应对攻击和响应正在发生的安全事件,而网络安全风险管理则强调从更全面的视角去评估企业的安全状况和面临的威胁态势,要从对组织运营、商誉、财务和合规等多个方面整体应对各种可能发生的网络威胁。
因此,当企业组织开展网络安全风险管理时没有捷径可走,安全团队需要全面考虑各个方面的风险因素。本文梳理了可以有效落地网络安全风险管理流程的6个关键要素,将帮助企业更好开展相关工作。
企业的安全团队应该准确理解,开展网络安全风险管理是为了更好地实现业务发展目标,因此网络安全风险管理的基础要求是要从业务发展的角度识别风险,了解当前网络安全风险的业务环境。从业务发展视角识别现有的安全风险和潜在的安全威胁至关重要,这将决定后续的风险管理工作中需要做多少,以及需要保护的重点是什么。
网络安全风险评估是指企业根据其关键业务发展目标,量化不同网络风险的潜在影响以及发生的可能性。通过风险评估,企业管理者和安全团队可以更加合理地分配防护资源,聚焦于关键性风险,以最具性价比的方式将风险控制在企业可以接受的范围内。网络安全风险评估可以借助FAIR等风险量化模型来实现,主要步骤包括风险范围界定、风险识别、风险分析、风险评估和记录报告等。
网络安全风险评估,安全团队还必须确定组织的网络安全风险承受能力。当不影响业务发展的时候,企业组织可以接受和承担一定程度的网络安全风险。如果经过量化评估的网络安全风险在可承受的范围内,企业的管理者就可以在一定时期内接受该风险,而将注意力和防护资源投入到更需要重视的高优先级风险中。需要强调的是,企业在定义网络安全风险承受能力的时候,应该与组织的整体业务发展目标保持一致。
有许多途径、方法和工具可用于帮助企业管理和缓解网络安全风险,但没有一种策略能够适合所有企业,也没有一种安全工具可以解决所有的问题。企业应该根据已识别风险的关键特征,制定适合自己的风险化解策略,这些策略可能包括实施技术控制措施、流程改进和安全培训计划等。同时,安全团队应该利用先进的安全技术工具,向企业管理层表明降低风险的必要性和价值,并确定风险缓解措施的优先级。
网络安全风险管理是一个整体性工作,也是一个持续的流程。实现持续地网络安全风险监控对于发现新的威胁和漏洞至关重要。企业应该积极利用自动化技术,将其量化预警信息或风险暴露状况统一整合起来,提升企业预测潜在风险的能力。实现控制环境与未知风险之间的协同,是开展网络安全风险管理的核心关注点之一。
尽管存在种种技术漏洞,但人依然是网络安全中最薄弱的环节。企业可以限制用户对某些系统和数据的访问,却难以阻止员工可能会犯的每个人为性错误。因此,持续的员工网络安全意识培训是减小数字攻击面最重要的安全控制之一。现代企业中的每一位员工都应该定期接受网络安全意识培训,以识别网络钓鱼等攻击企图,了解哪些数据很敏感,了解潜在的风险和漏洞,并了解如何遵循确保敏感数据安全的最佳实践。尽管人为性错误难以避免,但能通过适当的教育和培训,可以大大降低导致数据泄露危害发生的可能性。
注:以上图文内容来源于网络,如有侵权请联系删除
原文始发于微信公众号(伏宸区块链安全实验室):网络安全风险管理6大关键要素
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论