網絡安全的 10 個步驟之風險管理
作者: 何威風
無論網絡風險管理的新手,還是正在嘗試評估現有方法的有效性,本指南都將幫助了解在組織環境中什么是良好的風險管理方法 。
首先再次祝大家國慶節快樂,假期收獲滿滿!
采取基于風險的方法來保護數據和系統。
承擔風險是做生意的自然組成部分。風險管理為決策提供信息,以便在威脅和機會之間取得適當的平衡,以最好地實現組織業務目標。網絡安全領域的風險管理有助于確保以最適當的方式保護組織中的技術、系統和信息,并將資源集中在對組織業務最重要的事情上。良好的風險管理方法將貫穿整個組織,并補充管理其他業務風險的方式。
有什么好處?
良好的風險管理:
告知并改進決策有助于在整個組織中下發決策,同時保持適當的董事會級別的監督
為適應和有效應對出現的新威脅和機遇奠定基礎
無論網絡風險管理的新手,還是正在嘗試評估現有方法的有效性,本指南都將幫助了解在組織環境中什么是良好的風險管理方法 。
該怎么辦?
考慮想要管理網絡風險的更廣泛的背景。
- 想想組織做什么,以及關心什么。業務優先級和目標是什么?這似乎是網絡安全的一個奇怪起點,但它為網絡風險管理奠定了基礎。網絡風險管理與組織想要實現的目標無關,而是應該支持組織目標。考慮愿意(或不愿意)通過技術來實現目標和目標的風險將幫助組織決定采取哪些步驟來管理網絡安全風險。
- 考慮采用何種治理結構來管理其他類型的業務風險。網絡風險的管理和溝通如何適應這些結構?有效的治理對于良好的網絡安全風險管理很重要,因為它控制和指導組織為管理其面臨的網絡安全風險而采取的活動和行動。管理網絡安全相關風險的方法應以適合組織的方式有效管理。
- 確保組織有足夠的由董事會批準和擁有的政策,為整個組織制定風險管理戰略,并在適當的其他組織政策中考慮網絡安全。應該確保董事會集體對網絡安全有足夠的了解,以便他們了解網絡安全如何支持其整體組織目標。他們應該在他們需要的時候以他們理解的格式獲取他們需要的信息,以便做出決策。
了解需要在何處應用網絡風險管理
- 考慮組織為實現其組織目標和優先事項而使用和依賴的技術、系統、服務和信息的范圍。應該使用各種信息來源來幫助您確定此范圍。例如,對于現有系統,可以使用資產登記冊和系統圖;對于開發中的系統,可以從高級設計開始。與系統或服務的使用、管理人員或受其影響的人員交談,還可以深入了解要保護的內容及其原因。
- 請記住包括可能不受直接控制但仍屬于您組織更廣泛風險問題的一部分(例如供應鏈、第三方服務和云服務的使用)。
- 不要忘記考慮人們如何與技術、系統和服務交互。如何支持他們以安全和可用的方式執行此操作有助于管理組織的網絡安全風險。系統涉及人員、流程和技術,網絡風險管理方法應考慮到這些不同的元素以及它們如何相互作用。
選擇適合組織的網絡安全風險管理方法
- 考慮哪種網絡安全風險管理方法或方法組合適合組織。有許多工具、方法、框架和標準可供選擇——有些可能是通過標準或法規規定的,有些需要付費,有些則可以免費使用。選擇一種適合業務并且能夠揭示有關系統和服務的良好風險信息的方法非常重要。
- 了解并不總是需要進行詳細的風險評估。例如,可以使用Cyber Essentials等基線來提供有關保護組織免受最常見的基于 Internet 的攻擊所需的基本控制的信息。然而,單獨使用諸如 Cyber Essentials 之類的基線有其局限性,因為只有 Cyber Essentials 計劃通常考慮的風險才會被其推薦的控制措施覆蓋。它們并非旨在管理組織可能面臨的所有網絡安全相關風險。為了獲得更量身定制的視角,組織需要對自身進行風險分析和評估,以滿足自身的特定需求。
- 不同的方法提供了不同的風險視角。將需要使用多種方法和方法的組合,以盡可能最好地了解所面臨的風險。
了解面臨的風險以及如何管理它們
- 使用選擇的方法來識別、分析、評估和確定風險的優先級,并就將如何管理這些風險做出決策。例如,是否打算通過應用一些技術或非技術控制來降低風險?是否會接受風險并繼續進行而不采取任何進一步的行動來減輕它?是否打算將風險轉移給其他人(例如考慮網絡安全保險)?或者是否打算通過改變組織成員行為來消除風險發生的機會來避免風險?
- 確保正在考慮各種風險信息,并從專家或可信賴的信息來源中尋找信息。還可以考慮加入行業和政府內部的知識共享合作伙伴關系(例如 CiSP 信息共享平臺,它允許英國組織在安全和機密的環境中共享網絡威脅信息)。
- 請記住,如果選擇應用控制來管理風險,應該確保這些控制與風險成比例、可用且不會對業務運作方式產生不利影響。
就網絡風險和網絡風險管理進行有效溝通
- 確保將風險管理方法有效地傳達給員工和決策者,以便他們了解應如何管理網絡安全風險并幫助他們做出相關決策。
- 確保以適合貴組織談論其他類型風險(例如法律或財務風險)的方式傳達網絡風險。
- 確保使用有意義的語言并充分解釋使用的任何風險標簽或評分。使用無意義或溝通不暢的標簽會導致誤解和誤解。例如,在組織中,每個人對什么構成中等風險的解釋是否相同?
應用并尋求對選擇的控件的信心
- 應用選擇的控制來降低系統和服務的風險。此集合中的以下步驟可以幫助組織應用適當的安全控制和緩解措施:體系結構和配置、漏洞管理、身份和訪問管理、數據安全以及日志記錄和監控。
- 確保了解應用控制后仍存在哪些風險。無論是應用一套針對組織風險定制的控制措施,還是基于 Cyber Essentials 等基線,都不可能完全消除風險。剩余風險(稱為剩余風險)應由組織內負責風險的人員理解。
- 確保采取的緩解措施包有效地管理了確定的風險,并考慮在系統在未來使用時如何保持這種信心。
不斷改進風險管理方法
- 請記住,風險管理是一個迭代過程。技術在變化,商業環境及其相關的威脅和機遇也在變化。
- 定期審查風險,以確保決定管理風險的方式仍然有效和適當。特別是,當發生重大變化時,應該重新審視風險評估。這可能是當面臨的威脅發生變化時,或者當更改用于交付和管理系統或服務的技術時,或者當使用系統的方式發生重大變化時。
- 還需要審查用于風險管理的方法、框架和工具,以確保它們在業務環境中以及面對不斷發展的網絡安全和威脅形勢時繼續有效。
參考來源:英國國家網絡安全中心官網
責任編輯:武曉燕
來源:
祺印說信安
