网络风险多种多样:停电可以停掉整个网络,黑客可以入侵服务器,恶意的内部人士可以通过USB盘窃取敏感信息,这些只是些比较明显的例子。潜在的风险太多了,以至于很难确定企业可以承受的风险,不能承受的风险,以及在降低到一个可接受的风险级别时企业可以应付的风险。
要减少停电的风险,我们可以投资一套备用发电机,但是要想降低黑客成功攻入网络的风险应该怎么做了?这个风险永远也不可能完全排除,所以确定将其降低为可接受的风险级别所需花费就很重要了。本指南将介绍如何通过企业安全风险分析来达到这个目的。
在企业中定义一个可接受的风险级别
可接受的风险级别应该由管理层根据业务的法律和监管遵从责任,以及它的风险类型和业务驱动来决定。还应该考虑风险对业务的影响,例如业务收入损失、意外花销,以及风险发生时所带来的生产停滞。信息安全专业人士应该作为风险和管理层之间的媒介,解释潜在的安全风险对业务目标的影响,以便他们在风险和可接受的风险等级之间取得平衡。
例如,即时通讯可以给特定的业务带来巨大的生产力,但是它也为病毒和恶意软件敞开了大门。定性和定量分析可以比较即时通讯的业务价值和病毒感染造成的成本以及降低病毒风险的企业即时通讯服务器的成本。
但是如果即时通信的风险迅速增长该怎么办?这个时候,使用即时通信的企业就需要重新评估继续使用即时通信是否在它可以接受的风险等级之内。如果不是,他们要决定是禁用它、增加额外的安全控制还是简单地做员工安全意识培训。每个企业都有自己的度量风险的方法和公式,但是评估特定风险的决策过程都应该从安全风险评估开始。
进行一次安全风险分析
一个企业安全风险分析应该包括以下几步:
◆确定公司资产
◆给每个资产指定一个所有者,并按关键程度进行分级
◆识别每个资产的潜在弱点以及相关的威胁
◆评估特定资产的风险
在这个基础上,再找出降低风险的必要措施,并对这些措施进行成本效益分析,以便高级管理层能够决定如何处理每个风险。基于相关的成本和效益,他们有4个选择:
1.接受风险。
2.避免风险。
3.通过实施建议的措施来减轻或者改变风险。
4.通过购买保险来转移风险。
但是,要知道没有什么措施能够完全地消除风险。风险总是会有一些的;回到上面即时通信的例子,即使企业即时通信服务器有增强的安全性,它也不能完全消除恶意软件感染或者数据泄露的风险。最终的目标是使这个“残余风险”在公司所能接受的风险等级内。
风险和业务一样总是在变化。例如,如果一个公司决定自己维护它的在线支付系统,这可能就提高了遭受网络攻击的风险,所以就需要更强的防护,以及保护支付系统免受内部威胁的安全规章来把风险降低到可接受的水平。它还会面临额外的风险,即违反支付卡行业数据安全标准(PCI DSS),这就是为什么风险分析除了业务驱动和目标之外,还必须考虑法规和法规遵从的原因。
关于风险会如何变化的一个好例子,就是针对谷歌中国的“Aurora攻击行动”。这些攻击带来的风险使Goolge无法接受,该公司的反应是避免这一风险再提高,即退出中国。尽管这是一个极端的例子,多数公司不太会受到这种程度的攻击,但它还是很完美地诠释了风险承受力能够也应该成为一个决定性因素,不只是在做IT安全和策略决定的时候要考虑到,在确定整个公司的策略的时候也应该考虑到。
如你所见,确定一个可接受的风险不是一个一次性工作,它需要在业务活动或者业务所在的环境发生剧变时再次进行。不管这意味着更新规章和培训还是改进安全控制和应变计划,都需要持续地监控风险,以保证风险、安全和盈利能够达到合理的平衡。
【编辑推荐】