您的关键任务数据、客户信息和人事记录是否免受网络犯罪分子、黑客甚至内部滥用或破坏的入侵?如果您确信您的数据是安全的,其他公司也有同样的感觉:
- Target 是美国最大的零售商之一,在 2013 年成为大规模网络攻击的受害者,1.1 亿客户的个人信息和 4000 万条银行记录被泄露。这对公司的形象造成了长期损害,并支付了超过 1800 万美元的和解金。
- 著名的信贷公司 Equifax 在 2017 年 7 月被发现,历时数月遭到攻击。网络窃贼窃取了超过 1.43 亿客户的敏感数据和 200,000 个信用卡号码。
这些只是导致大量罚款和和解的高度公开攻击的例子。更何况,对品牌形象和公众认知的损害。卡巴斯基实验室的网络安全研究显示,2018 年全球发生 7.58 亿次恶意网络攻击和安全事件,其中三分之一起源于美国。您如何保护您的业务和信息资产免受安全事件的影响?解决方案是制定战略计划,对信息安全风险管理做出承诺。
什么是信息安全风险管理?定义
信息安全风险管理 (ISRM) 是管理与使用信息技术相关的风险的过程。
换句话说,组织需要:
- 识别安全风险,包括计算机安全风险的类型。
- 确定关键资产的业务“系统所有者”。
- 评估企业风险承受能力和可接受的风险。
- 制定网络安全事件响应计划。
建立您的 风险管理策略
风险评估
您的风险概况包括对所有信息系统的分析和对您业务威胁的确定:
- 网络安全风险
- 数据和 IT 安全风险
- 现有的组织安全控制
全面的 IT 安全评估包括数据风险、数据库安全问题分析、数据泄露的可能性、网络和物理漏洞。
风险处理
通过多种方法修复漏洞所采取的行动:
- 风险接受
- 风险规避
- 风险管理
- 事件管理
- 事件响应计划
开发企业解决方案需要对企业信息系统的安全威胁进行全面分析。风险评估和风险处理是迭代过程,需要在您的业务的多个领域投入资源:人力资源、IT、法律、公共关系等。并非所有在风险评估中识别的风险都会在风险处理中得到解决。有些将被确定为可接受或低影响的风险,不需要立即制定治疗计划。您的信息安全风险评估有多个阶段需要解决。
安全风险评估的 6 个阶段
美国商务部国家标准与技术研究院 (NIST)提供了采用风险管理框架的有用指南。该自愿框架概述了可能适用于您的业务的 ISRM 计划的各个阶段。
1. 识别——数据风险分析
此阶段是识别您的数字资产的过程,其中可能包含各种信息:
必须根据 Sarbanes-OxleyHealthcare 记录控制的财务信息,要求通过应用《健康保险流通与责任法案》(HIPAA )保密
公司机密信息,例如产品开发和商业秘密
可能使员工面临身份盗窃法规等网络安全风险的人员数据
对于那些处理信用卡交易的人,符合 支付卡行业数据安全标准(PCI DSS)
在此阶段,您不仅要评估数据丢失或被盗的潜在风险,还要确定要采取的步骤的优先级,以尽量减少或避免与每种数据类型相关的风险。
识别阶段的结果是了解您的主要信息安全风险,并评估您已经采取的任何控制措施以减轻这些风险。此阶段的分析揭示了以下数据安全问题:
潜在威胁——物理、环境、技术和人员相关
控制措施已经到位——安全的强密码、物理安全、技术的使用、网络访问
应该或必须保护和控制的数据资产
这包括按保密级别、合规性法规、财务风险和可接受的风险级别对安全风险管理数据进行分类。
2. 保护——资产管理
一旦您意识到自己的安全风险,您就可以采取措施保护这些资产。
这包括各种流程,从实施安全策略到安装提供高级数据风险管理功能的复杂软件。
- 培训员工正确处理机密信息的安全意识。
- 实施访问控制,以便只有真正需要信息的人才能访问。
- 定义所需的安全控制措施,以最大限度地减少安全事件的风险。
- 对于每个已识别的风险,建立相应的业务“所有者”以获得对提议的控制和风险承受能力的支持。
- 创建信息安全官职位,重点关注数据安全风险评估和风险缓解。
3. 实施
您的实施阶段包括采用正式政策和数据安全控制。
这些控制将包括各种数据管理风险方法:
- 审查已识别的安全威胁和现有控制
- 为威胁检测和遏制创建新的控制措施
- 选择网络安全工具来分析实际威胁和企图威胁
- 安装和实施用于警报和捕获未经授权访问的技术
4. 安全控制评估
您的企业采用的现有和新的安全控制措施都应接受定期审查。
- 验证警报是否路由到正确的资源以便立即采取行动。
- 确保在添加或更新应用程序时进行持续的数据风险分析。
- 应定期测试网络安全措施的有效性。如果您的组织包括审计职能,是否已审查和批准控制?
- 是否采访了数据业务所有者(利益相关者)以确保风险管理解决方案是可接受的?它们是否适合相关的漏洞?
5.信息安全系统授权
既然您已经全面了解了您的关键数据、定义了威胁并为您的安全管理流程建立了控制,那么您如何确保其有效性?
授权阶段将帮助您做出此决定:
- 是否已将持续的威胁通知给正确的人?这是否及时完成?
- 查看您的控件生成的警报——电子邮件、文档、图表等。谁在跟踪对警告的响应?
这个授权阶段不仅要检查谁被告知,还要检查采取了哪些行动,以及采取多快的行动。当您的数据存在风险时,反应时间对于最大程度地减少数据被盗或丢失至关重要。
6. 风险监控
采用信息风险管理框架对于为您的技术资产提供安全环境至关重要。
实施复杂的软件驱动的控制和警报管理系统是风险处理计划的有效部分。
持续监测和分析至关重要。网络窃贼每天都在开发攻击您的网络和数据仓库的新方法。为了跟上这种猛烈的活动,您必须定期重新访问您的报告、警报和指标。
创建有效的安全风险管理计划
击败网络犯罪分子和阻止内部威胁是一个具有挑战性的过程。为您的企业风险管理带来数据完整性和可用性对于您的员工、客户和股东来说至关重要。创建您的风险管理流程并采取战略措施,使数据安全成为开展业务的基本组成部分。
总之,最佳实践包括:
- 实施技术解决方案,在数据受到威胁之前检测和消除威胁。
- 建立问责制安全办公室。
- 确保遵守安全策略。
- 使数据分析成为 IT 和业务利益相关者之间的协作工作。
- 确保警报和报告有意义且有效路由。
进行完整的 IT 安全评估和管理企业风险对于识别漏洞问题至关重要。制定全面的信息安全方法。
