如何用安全風險分析來評估可接受的風險等級
網絡風險多種多樣:停電可以停掉整個網絡,黑客可以入侵服務器,惡意的內部人士可以通過USB盤竊取敏感信息,這些只是些比較明顯的例子。潛在的風險太多了,以至于很難確定企業可以承受的風險,不能承受的風險,以及在降低到一個可接受的風險級別時企業可以應付的風險。
要減少停電的風險,我們可以投資一套備用發電機,但是要想降低黑客成功攻入網絡的風險應該怎么做了?這個風險永遠也不可能完全排除,所以確定將其降低為可接受的風險級別所需花費就很重要了。本指南將介紹如何通過企業安全風險分析來達到這個目的。
在企業中定義一個可接受的風險級別
可接受的風險級別應該由管理層根據業務的法律和監管遵從責任,以及它的風險類型和業務驅動來決定。還應該考慮風險對業務的影響,例如業務收入損失、意外花銷,以及風險發生時所帶來的生產停滯。信息安全專業人士應該作為風險和管理層之間的媒介,解釋潛在的安全風險對業務目標的影響,以便他們在風險和可接受的風險等級之間取得平衡。
例如,即時通訊可以給特定的業務帶來巨大的生產力,但是它也為病毒和惡意軟件敞開了大門。定性和定量分析可以比較即時通訊的業務價值和病毒感染造成的成本以及降低病毒風險的企業即時通訊服務器的成本。
但是如果即時通信的風險迅速增長該怎么辦?這個時候,使用即時通信的企業就需要重新評估繼續使用即時通信是否在它可以接受的風險等級之內。如果不是,他們要決定是禁用它、增加額外的安全控制還是簡單地做員工安全意識培訓。每個企業都有自己的度量風險的方法和公式,但是評估特定風險的決策過程都應該從安全風險評估開始。
進行一次安全風險分析
一個企業安全風險分析應該包括以下幾步:
◆確定公司資產
◆給每個資產指定一個所有者,并按關鍵程度進行分級
◆識別每個資產的潛在弱點以及相關的威脅
◆評估特定資產的風險
在這個基礎上,再找出降低風險的必要措施,并對這些措施進行成本效益分析,以便高級管理層能夠決定如何處理每個風險。基于相關的成本和效益,他們有4個選擇:
1.接受風險。
2.避免風險。
3.通過實施建議的措施來減輕或者改變風險。
4.通過購買保險來轉移風險。
但是,要知道沒有什么措施能夠完全地消除風險。風險總是會有一些的;回到上面即時通信的例子,即使企業即時通信服務器有增強的安全性,它也不能完全消除惡意軟件感染或者數據泄露的風險。最終的目標是使這個“殘余風險”在公司所能接受的風險等級內。
風險和業務一樣總是在變化。例如,如果一個公司決定自己維護它的在線支付系統,這可能就提高了遭受網絡攻擊的風險,所以就需要更強的防護,以及保護支付系統免受內部威脅的安全規章來把風險降低到可接受的水平。它還會面臨額外的風險,即違反支付卡行業數據安全標準(PCI DSS),這就是為什么風險分析除了業務驅動和目標之外,還必須考慮法規和法規遵從的原因。
關于風險會如何變化的一個好例子,就是針對谷歌中國的“Aurora攻擊行動”。這些攻擊帶來的風險使Goolge無法接受,該公司的反應是避免這一風險再提高,即退出中國。盡管這是一個極端的例子,多數公司不太會受到這種程度的攻擊,但它還是很完美地詮釋了風險承受力能夠也應該成為一個決定性因素,不只是在做IT安全和策略決定的時候要考慮到,在確定整個公司的策略的時候也應該考慮到。
如你所見,確定一個可接受的風險不是一個一次性工作,它需要在業務活動或者業務所在的環境發生劇變時再次進行。不管這意味著更新規章和培訓還是改進安全控制和應變計劃,都需要持續地監控風險,以保證風險、安全和盈利能夠達到合理的平衡。
【編輯推薦】
