编者按: 以下是一篇由Galvanize赞助的博客文章.
大多数组织现在已经意识到网络安全风险管理的重要性.
平均成本为3美元.8600万美元用于处理数据泄露的后果, 识别和控制漏洞平均需要280天. 对于大型澳门赌场官方下载来说, 成本可能要高得多:第一资本, 例如, 据估计,2019年因数据泄露造成的损失高达1.5亿美元.
即使没有遭受实际违约造成的损失, 遵守严格的数据和隐私保护行业规定仍然需要时间和成本. 另外, 在欧盟开展业务的组织受欧盟通用数据保护条例(GDPR)的约束。, 其中哪一项最高可处以2000万欧元(约2400万美元)或全球年营业额的4%的罚款.
考虑到实际违规的风险以及因违反规定而被罚款的危险, 许多组织已经将网络安全作为其风险管理计划的核心关注点, 通常属于首席信息安全官(CISO)的范畴. 但是网络安全风险管理项目在目标方面可能有所不同:有些项目只关注满足合规性目标, 而其他人则专注于减轻实际的网络安全风险.
只关注合规性的组织忽略了大量的风险因素. 而建立一个良好的防御姿态可以帮助减轻许多已知的威胁, 这意味着你对不断变化的威胁环境缺乏可视性, 因此,对于可能出现的许多情况,您可能没有做好准备. 在COVID-19大流行的情况下, 例如, 大量的组织在没有足够的基础设施或准备的情况下转移到远程工作,发现他们的安全受到了损害, 使组织面临欺诈和数据泄露的风险. 2020年第一季度,大规模数据泄露事件的发生速度很快 比上一季度增长了近300%.
以便更好地为不断变化的风险情景做好准备, 建立一个专注于风险评估和管理的网络安全方法至关重要, 不仅仅是遵从. 这里有一些入门的最佳实践.
+成立指导委员会
建立一个跨学科的指导委员会来帮助你在整个组织中报告你的风险, 合作确定哪些是最优先要解决的问题.
平衡理想和可实现的目标
当你制定计划时, 确保你关注的目标不是遥不可及的. 一个好的经验法则是只考虑那些可以在两年内实施的计划.
+给你的组织一个宽限期
New policies and technologies can’t be implemented instantly; give your organization time to research options and ensure a focus on implementation and education.
+专注于关键任务系统和数据资产
在确定要优先考虑哪些风险时,从业务角度出发,使用影响评估来评估每个受影响系统或资产的严重性.
评估GRC产品,以帮助简化流程
通过为您的GRC计划选择正确的技术堆栈, 你可以将网络风险流程半自动化, 这将使您能够最大限度地利用员工来完成更具战略性的任务.
+提供商业论据,以帮助建立网络风险方法
与你的利益相关者分享一个清晰而专门的计划,以改善你的澳门赌场官方下载的网络安全状况, 包括标的投资, 快速获胜和最佳实践.
+建立分阶段的方法
不要试图一次做所有的事情来“煮沸海洋”. 从高优先级的计划开始,并在此基础上发展你的计划.
+将风险洞察推断到安全计划的其他领域
一旦你的风险管理程序就位, 通过政策更新和全公司的意识和教育计划来展示信息.
向你的客户和合作伙伴推广这种方法
通过展示你的网络安全战略方法, 你可以帮助提高公司的竞争地位.
在业务风险评估过程中,采取以下步骤:
- 创建概要:首先使用风险清单设置您的业务概要.
- 确定业务影响:每个风险会对您的业务产生什么样的财务或声誉影响?
- 评估威胁:基于历史数据和行业数据,评估每个威胁发生的可能性?
- 评估漏洞:您的组织中目前存在哪些弱点?
- 确定风险:评估哪些风险是最高优先级的.
- 处理风险:基于成本和潜在影响, 你应该缓和吗?, 避免, 转移, 或者接受每一个风险?
请记住,网络风险不应该是基于竖井的. 其他部门通常需要围绕解决网络安全问题进行培训和教育. 例如, 你的人力资源部门应该实施避免内部攻击的政策, 您的意识和澳门赌场官方下载教育团队应该组织一个关于防止社会工程攻击的研讨会, 你的供应商协议应该包括适当的语言和最低标准,以减少第三方违约的风险.
通过确保您建立了一个与网络安全风险分析最佳实践相一致的全面计划, 您可以在整个组织中获得支持,并提高对团队所做工作重要性的认识.
