在2013年末,爆發(fā)了一場(chǎng)大規(guī)模的數(shù)據(jù)泄露事件。黑客竊取了將近7000萬(wàn)消費(fèi)者的個(gè)人信息和信用卡信息,該泄露事件最終造成1.6億美元是損失并且CEO和CIO引咎辭職。盡管此次事件影響范圍廣泛,但此類事件卻不在少數(shù)。
最近,LinkedIn發(fā)生了一次大規(guī)模的數(shù)據(jù)泄露事件,官方稱這次是2012年的延伸,黑客竊取了超過(guò)1億個(gè)用戶賬戶,并在網(wǎng)絡(luò)上售賣。盡管LinkedIn在2012年的信息首次公開(kāi)是建議用戶修改密碼,但是直到四年后企業(yè)才決定取消這些已暴露的密碼。無(wú)獨(dú)有偶,地下黑市里也曝出了MySpace的用戶賬戶數(shù)據(jù),一時(shí)間國(guó)內(nèi)外風(fēng)起云涌。
面對(duì)這些狀況,企業(yè)必須從這些血淋淋的案例中吸取經(jīng)驗(yàn)。安全泄露事件不僅會(huì)導(dǎo)致清算時(shí)的財(cái)產(chǎn)損失,也會(huì)遭到聯(lián)邦貿(mào)易委員會(huì)(FTC)的罰款、高管的辭職和名譽(yù)的損失。一份德勤報(bào)告指出,安全問(wèn)題是道德問(wèn)題之后的影響企業(yè)聲譽(yù)的第二大因素。這些安全事件的影響會(huì)延續(xù)數(shù)年,甚至影響企業(yè)的股價(jià)和產(chǎn)品銷售。
因此,對(duì)于業(yè)務(wù)包含敏感數(shù)據(jù)的企業(yè)來(lái)說(shuō),適當(dāng)進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)管理實(shí)踐培訓(xùn)是非常有必要的。
利用安全框架
在幾年以前,建立網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃是很難創(chuàng)建并實(shí)施的,但是現(xiàn)在,有很多框架可以幫助企業(yè)建立風(fēng)險(xiǎn)管理體系。國(guó)際標(biāo)準(zhǔn)化組織制定了ISO 27000,來(lái)指導(dǎo)企業(yè)建立并完善信息安全管理系統(tǒng)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定了被美國(guó)政府廣泛使用的風(fēng)險(xiǎn)管理框架。
2014年,NIST制定了網(wǎng)絡(luò)安全框架(CSF),該框架被許多組織作為識(shí)別和管理日常網(wǎng)絡(luò)風(fēng)險(xiǎn)的藍(lán)圖。CSF的主要優(yōu)點(diǎn)在于,它可以為組織提供風(fēng)險(xiǎn)基線和易于理解的詞匯表——從初級(jí)員工到高層,甚至董事會(huì)。
CSF允許所有類型和規(guī)模的組織從以下五個(gè)關(guān)鍵功能區(qū)域識(shí)別和評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn):
1、識(shí)別——什么樣的數(shù)據(jù)和資產(chǎn)需要被保護(hù)?
2、保護(hù)——有哪些現(xiàn)有的方法可以保護(hù)這些資產(chǎn)?
3、檢測(cè)——怎樣才能檢測(cè)潛在的網(wǎng)絡(luò)威脅?
4、響應(yīng)——怎樣才能響應(yīng)安全事件?
5、恢復(fù)——怎樣從安全事件中恢復(fù)?
從這些功能區(qū)域識(shí)別風(fēng)險(xiǎn)后,組織必須優(yōu)先考慮和制定風(fēng)險(xiǎn)處理計(jì)劃。作為計(jì)劃的一部分,企業(yè)有以下選擇:
如果為低風(fēng)險(xiǎn),則忽略
通過(guò)不參與引發(fā)風(fēng)險(xiǎn)的活動(dòng)來(lái)避免風(fēng)險(xiǎn)
通過(guò)投資新的安全技術(shù)來(lái)修復(fù)風(fēng)險(xiǎn)
轉(zhuǎn)移風(fēng)險(xiǎn)(例如網(wǎng)絡(luò)保險(xiǎn)),主要針對(duì)出現(xiàn)可能性低,但影響級(jí)別高的風(fēng)險(xiǎn)
使用正確的工具
在指定了計(jì)劃和發(fā)展路線之后,企業(yè)需要考慮的是如何實(shí)現(xiàn)這些網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略。第一步是確定實(shí)現(xiàn)計(jì)劃的可用資源。
目前網(wǎng)絡(luò)安全專家需求量大且雇傭費(fèi)用高。要找到擁有合適技能的人才十分困難,因此,企業(yè)可能需要獵頭企業(yè)或盡量自動(dòng)化流程。
企業(yè)規(guī)模越大,風(fēng)險(xiǎn)和威脅也就越大,手動(dòng)實(shí)現(xiàn)風(fēng)險(xiǎn)管理的方法并不能滿足需求,沒(méi)有自動(dòng)化和監(jiān)控工具,企業(yè)將面臨未能有效測(cè)量、不能保持一致且不在處理范圍內(nèi)的風(fēng)險(xiǎn)。自動(dòng)化風(fēng)險(xiǎn)和合規(guī)的技術(shù)使企業(yè)可以快速且有效地操作框架。
沒(méi)有合理使用風(fēng)險(xiǎn)管理技術(shù)的額外風(fēng)險(xiǎn)是可能會(huì)遭遇法律的審判。在泄露事件中,企業(yè)需要證明他們采取了合理的措施來(lái)積極防護(hù)此類事件。溫德姆連鎖酒店就曾受到過(guò)此類影響,在泄露了大量客戶信息后,該酒店被FTC以沒(méi)有安全維護(hù)客戶信息的罪名起訴。雖然溫德姆認(rèn)為FTC并沒(méi)有權(quán)利規(guī)范企業(yè)網(wǎng)絡(luò)安全,而且法院判決也確實(shí)沒(méi)有。
網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃的重要性怎么強(qiáng)調(diào)都不為過(guò)。采取主動(dòng)的方式來(lái)診斷風(fēng)險(xiǎn)可以使企業(yè)更好地掌握安全狀況,并阻止?jié)撛诘耐{。通過(guò)制定和實(shí)施綜合的風(fēng)險(xiǎn)管理計(jì)劃,企業(yè)可以保護(hù)內(nèi)部數(shù)據(jù)、客戶信息,并避免帶來(lái)深遠(yuǎn)影響的安全事故。