从网络“攻击”到“了解你的对手”再到“网络威胁”——看起来随着时代的变迁,组织机构所面临的安全隐患可丝毫没有减弱。
网络威胁以多种形式存在,从民族国家所从事到间谍活动到网络犯罪分子对有价值信息的窃取与利用,再到出于特定动机而窥探数据内容或者由此导致业务中断可谓无所不包。
除此之外,原应值得信赖的内部人士同样有可能成为窃取企业或者客户数据的罪魁祸首,甚至连出于好意的工作人员也有可能在不经意间令宝贵的客户或者业务数据意外泄露。
毫无疑问,网络犯罪分子拥有极强的适应能力与创造性,但对我们来说,威胁环境本身是既定存在的——换言之,最重要的是如何对潜在风险加以管理。
在混乱的环境当中,保障安全的一大前提要求业务领导者们不会因此被干扰了立场与判断。如今的安全环境中充斥着大量技术解决方案,相关供应商承诺为客户提供覆盖各类边界的检测与预防机制。然而要想真正搞定安全威胁,业务领导者们需要后退一步并认清这样的现实,即网络风险在本质上并不属于IT风险、而应该算是商业风险,因此与各类商业风险一样其同样需要加以管理。
同样重要的是,我们需要意识到虽然网络威胁不可能被彻底消除,但风险管理确实是一项能够实现的任务。随意选择一套“风险框架”非常简单,不过与市场上的各类框架类似,如果未能投入时间与精力认真加以考量,那么我们所选定的方案有可能在耗费了大量成本之后却几乎无法提供任何有价值的安全回报。
我们已经无数次地通过技术或者军事术语对网络安全进行讨论,但这样做的惟一结果就是让高层管理者感到一头雾水并放弃了其这类问题的关注。因此重要的是,安全专业人士必须要将当前威胁环境以及网络安全挑战做出解释,并确保自己使用的是易于理解的语言表达方式。
有鉴于此,切实掌握组织机构当前所面对的网络风险就成了一大必要前提。每一位领导都必须能够提出以下这类简单的非技术性问题,并为其找到确切的答案:
1.了解数据价值
你是否了解所在组织机构内数据的实际价值?这类数据价值不仅仅体现在组织内部,同时也应立足于网络犯罪分子角度,思考他们乐于窃取哪些信息以满足自己的需要。哪些数据在丢失或者泄露之后给带来严重的后果?大家必须据此制定一套完整的有价值数据清单。
2.了解谁曾访问过有价值数据
谁对特定信息拥有管理或者访问权限?大家的“受信内部人员”是否真的需要通过这种权限来完成自己的日常工作?这个问题之所以如此重要,是因为我们必须要对指向有价值数据的访问活动进行严密监控。大家绝不应该把自家钥匙交给任何外人,而监控有价值数据访问情况的意义也应遵循同样的思路。
3.了解自己的有价值数据保存在何处
大家必须了解自己的有价值数据保存在何处以及如何对其进行。这部分信息在以本土、离岸或者云端方式存储,甚至在由第三方负责打理吗?除此之外,我们还有必要了解自己的服务供应商是否会将有价值数据同分包商进行共享。
4.了解谁在保护我们的数据
大家需要了解谁在对有价值数据进行保护,这一点真的非常重要。另外,务必弄清这些保护服务商身在何处。
5.了解数据的受保护水平
大家需要了解安全专家们采取了怎样的举措来对我们的数据进行24/7全天候保护。另外,这些第三方供应商是否会在保护数据的同时对其内容进行访问?
只有能够确切回答上述问题,大家所在的组织机构才有可能真正理解网络风险水平并对其管理成效做出准确评估。