最近,我 写了 关于“刚刚足够安全”的概念,并提到了如何在“太多”之间取得平衡, 没有足够的, 足够的安全绝非易事.在这篇博文中, 我将进一步讨论为了实现“刚刚好”的安全性,组织最初应该关注哪些方面.”
安全在商业中的作用是什么?
对于初学者来说, 理解安全的作用是“满足业务需求”是很重要的.这是一个不被普遍理解的说法, 特别是如果组织的文化不支持将网络安全作为业务驱动因素. 没有支持网络安全工作的文化, 安全团队始终有义务以预防模式操作, 哪些因素会影响其实现业务目标的能力, 安全被认为是一种沉没成本. 诸如“没有数据泄露”之类的笼统声明通常会被抛弃, 但最近的历史告诉我们,考虑到袭击者的资源和动机,这是不可能的. 即使首席信息安全官试图将概率降低到极低的数字, 同样的商业利益相关者也会因成本而犹豫不决. 因此,网络安全必须成为澳门赌场官方下载商业模式/价值观的战略组成部分. 它具有保护组织资产的关键作用, 知识产权, 敏感数据, 市场的存在, 以及品牌声誉. 无论是刚开始一项新业务,还是专注于全球扩张, 网络安全计划的发展对进一步实现业务目标至关重要.
建立风险意识文化
建立一种将网络安全视为商业目标的文化的第一步是 说一种共同的语言. 实现这一目标的最佳方法是建立正式的风险管理程序. 风险管理程序的目的是识别组织的真正风险,并将风险降低到可接受的水平. 业务涉众, 比如风险管理, 战略和运营团队, 通常对什么是“可接受的风险”有更深刻的理解,并习惯于基于风险做出决策. 将风险信息与成本叠加以降低风险,为组织提供确定“足够安全”所需的所有数据.
确定组织内在风险的过程是通过风险评估. 虽然有多种最佳实践和框架(ISO 27005, Nist sp 800-30, 公平)进行风险评估,可通过以下步骤获取基本信息:
- 识别资产.
- 确定资产的临界水平.
- 识别对每个关键资产的威胁.
- 确定现有的对策/控制措施.
- 确定每个关键资产的漏洞级别.
- 确定每项关键资产的风险等级.
- 建议安全升级以降低高风险.
- 如果可能的话,进行成本效益分析以支持升级建议.
来源: http://facilitiesmanagementadvisor.blr.com/security/8-step-risk-assessment-facilitys-security/
进行风险评估
以下五个例子来自我自己的咨询经验,可以帮助说明实践中的风险评估:
- 客户A是一家存储, 流程, 处理大量财务数据(关键资产). 而它希望它的系统能够持续地启动和运行, 它更关心的是财务数据不会泄露出去. 来自中央情报局(保密), 完整性, (可用性)安全性透视图, 客户A对任何威胁其关键资产保密性的事情的接受门槛要低得多. 因此, 进行风险评估时, 客户A对这些风险进行优先排序,并决定以额外的成本实施额外的控制.
- 客户B是一家内容交付网络(CDN)提供商,通过其遍布全球的服务器向其客户的最终用户提供公开可用的网站. 虽然它希望确保这些网站数据的保密性和完整性, 客户B更关心确保100%的正常运行时间, 或可用性. 这反映在如何在风险评估期间确定这些风险,如何处理.
- 客户C在量子计算领域从事前沿科学研究. 他们进行了风险评估,发现敌对的国家行为者对他们的知识产权(IP)非常感兴趣。, 而且这种威胁攻击它们的可能性很高. 通过控制评估, 它们还确定其现有的预防性控制措施不足以防范这种威胁,并决定在这一领域增加投资.
- 客户D是一个支付处理商,它发现自己面临着很高的风险 ransomware攻击 因为它存储了大量的个人身份信息(PII)和支付卡行业(PCI)数据, 流程, 并处理. 确定其缺乏现有的恢复控制, 它决定实施每周完全备份和每日增量备份.
- 客户E是一名软件开发人员,在竞争激烈的环境中运营. 风险评估将内部威胁确定为首要问题,因为有能力窃取其IP,而控制评估发现现有的访问控制和监控控制不足以应对这一威胁. 在优先的基础上制定纠正行动计划来解决这些差距.
从上面可以看出, 具有不同业务需求的不同组织将根据其风险评估做出不同的决策.
风险知情决策
降低风险需要付出努力和金钱. 此外, 组织文化在网络安全项目的成败中起着重要作用. 围绕风险的讨论可以帮助弥合差距,并将网络安全定位为业务驱动因素. 虽然有时解决对运营可行性影响最大的风险是有意义的, 在其他时候,循序渐进地先取得唾手可得的成果可能效果更好. 然而, 没有适当的风险评估, 组织将盲目操作,在安全方面做出不知情的决定. 最终的结果可能是在不必要的安全控制上浪费金钱,直到高风险被实现,并且安全事件使组织在操作上无法生存.
与那句古老的谚语“你不知道的事情会伤害你”相反.”
