新监管规定层出不穷,威胁态势不断改变,公司企业需要采用新方法来评估安全风险。
过去2年中世界发生了很大变化,网络安全风险评估的规则也发生了巨变。数字渗透的增加、风险界面的扩大、网络威胁影响的加重,让风险管理变得更加复杂而重要。
然而,风险管理是当今企业运营重要组成部分的概念却尚未深入人心。据普华永道的调查研究,40%的爱尔兰公司没有进行任何风险评估。
Gartner去年夏天的IT风险管理报告试图解决风险管理领域越来越复杂的问题,将市场划分成了7个不同部分,包括:审计、供应商风险管理和运营风险。 该咨询公司画出了包含ServiceNow、Dell/RSA Archer等10家供应商的魔力象限图,发现因为IT客户希望有更全面的解决方案可以部署到多种情况和工作流上,风险管理市场正在飞速发展。
事物发展太快,以致刚出才1年的报告都有些过时了。我们可以探索以下几个发生改变的方面,讨论该怎么改善过程、调整组织架构和更好地了解及解决公司未来的网络风险。
改变 1 :安全是每个人责任
信息安全如今是整个企业都应考虑的事,不再仅仅是IT部门的专属领域。直到1年半之前,大多数公司都还将网络相关风险视为自身IT部门的责任。现在的情况则大不一样了,信息安全对今天的企业而言是个跨部门的挑战,意味着风险管理变得越来越复杂,以往那种由IT部门全权负责的做法不再适用。
随着公司企业将越来越多的服务和产品推上线,风险影响也波及到了全公司范围。服务如今由公司不同部门托管,数据不再孤立,风险愈趋复杂。除此之外,恶意软件威胁也越来越高端,更具针对性,更难以检测,而数据泄露会影响到公司每一个人,摧毁客户及合作伙伴关系,伤及上市公司股价。
改变 2:公司企业受到政府更严格的监管
政府监管变严推升了数据泄露事件的风险赌注和最终损失。公司企业将面临更巨额的罚款,公共形象和信誉损失也不可小觑。这并不意味着公司企业应仅出于合规目的而管理风险,这种几年前的普遍做法如今已不合时宜。风险管理应成为公司整体运营基因中的一环。
改变 3:网络风险评估需要特殊的技能集
虽然全世界的商科大学都在教授整体风险管理,理解网络风险却仍需要特殊的技术与经验的结合。网络风险管理横跨多个学科,IT安全经理不应仅负责可接受风险等级的决策。公司企业应投入大量时间和精力来确定该怎么做才能保足够安全,了解其中所涉及的过程。
脱离上下文谈安全对公司毫无益处。关键就是找到掌握了该上下文的员工。风险评估往往是在项目结束时而不是开始时才做,这样是不对的。评估太过专业化,从未被当成真正的业务价值增长点来看待。
改善过程以更好地评估风险
IT安全管理人员如今必须从整体业务和安全上下文的角度更好地理解风险。为此,他们需与其他利益相关者协作,恰当地划分风险优先级,重定义各自在量化和监视风险工作中所担负的角色职能。可以按下列步骤实施该过程:
第一步:得到管理层支持
包括董事会在内的公司高层需更好地支持风险管理工作。可采取多步骤措施绘制公司资产分布图,建立起所有利益相关者都首肯的“风险登记簿”。风险管理应区别于CISO的日常工作。
公司企业在这方面应做更多核查与平衡。可以设立“首席风险官”职位,直接向CEO或CIO报告,并列席董事会会议。首席风险官的任务是找出公司的关键风险指标,设立公司可接受风险阈值。
网络风险管理应融入到所有其他业务风险中,CISO需找到交付风险管理服务和安全的方法。很多公司只从技术角度处理网络风险问题,但网络风险应纳入总体风险管理当中,并受到高管的领导。
另外,购入新风险管理工具也需要来自高层的支持。人都有惰性,害怕改变,但作为CISO却不得不学习怎样阐述风险管理的重要性,学会赢得高层支持,帮助所属机构保护好各项资产,并展现出自身工作的价值。
第二步:定期评估漏洞
这个阶段应在整个企业范围内实现持续的风险评估了。了解公司业务情况是管理风险的最佳因素,包括网络风险管理也需要了解业务情况。比如,要知道是什么在驱动公司业务发展,哪些风险对公司业务有严重影响等等。
漏洞评估不过是个空洞的潮词。如果不持续评估,不了解该评估些什么,那漏洞评估就没有意义。理想情况下,评估应更为细致,不仅仅展现出那些设备打了补丁,还应具体到设备的配置是否正确。风险管理是一项复杂而长期的工作,需要专注与自律。
第三步:执行持续统一的风险评估
对很多企业而言,管理风险的主要软件工具就是微软Excel电子表格中的项目列表,手动更新,位置不定。但这种做法已不适应当今商业社会。公司企业不再是每季度发布一次产品的静态实体,如今他们与客户的互动更频繁,互动方式也横跨网站和手机等不同设备。软件更新频率发展至每天甚至每小时一次。早上才推出的App,吃午饭时可能已不再是原来的代码。这意味着必须进行持续的风险评估。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】