久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

在2013年末，爆發(fā)了一場大規(guī)模的數(shù)據(jù)泄露事件。黑客竊取了將近7000萬消費(fèi)者的個(gè)人信息和信用卡信息，該泄露事件最終造成1.6億美元是損失并且CEO和CIO引咎辭職。盡管此次事件影響范圍廣泛，但此類事件卻不在少數(shù)。

最近，LinkedIn發(fā)生了一次大規(guī)模的數(shù)據(jù)泄露事件，官方稱這次是2012年的延伸，黑客竊取了超過1億個(gè)用戶賬戶，并在網(wǎng)絡(luò)上售賣。盡管LinkedIn在2012年的信息首次公開是建議用戶修改密碼，但是直到四年后企業(yè)才決定取消這些已暴露的密碼。無獨(dú)有偶，地下黑市里也曝出了MySpace的用戶賬戶數(shù)據(jù)，一時(shí)間國內(nèi)外風(fēng)起云涌。

面對(duì)這些狀況，企業(yè)必須從這些血淋淋的案例中吸取經(jīng)驗(yàn)。安全泄露事件不僅會(huì)導(dǎo)致清算時(shí)的財(cái)產(chǎn)損失，也會(huì)遭到聯(lián)邦貿(mào)易委員會(huì)(FTC)的罰款、高管的辭職和名譽(yù)的損失。一份德勤報(bào)告指出，安全問題是道德問題之后的影響企業(yè)聲譽(yù)的第二大因素。這些安全事件的影響會(huì)延續(xù)數(shù)年，甚至影響企業(yè)的股價(jià)和產(chǎn)品銷售。

因此，對(duì)于業(yè)務(wù)包含敏感數(shù)據(jù)的企業(yè)來說，適當(dāng)進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)管理實(shí)踐培訓(xùn)是非常有必要的。

利用安全框架

在幾年以前，建立網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃是很難創(chuàng)建并實(shí)施的，但是現(xiàn)在，有很多框架可以幫助企業(yè)建立風(fēng)險(xiǎn)管理體系。國際標(biāo)準(zhǔn)化組織制定了ISO 27000，來指導(dǎo)企業(yè)建立并完善信息安全管理系統(tǒng)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定了被美國政府廣泛使用的風(fēng)險(xiǎn)管理框架。

2014年，NIST制定了網(wǎng)絡(luò)安全框架(CSF)，該框架被許多組織作為識(shí)別和管理日常網(wǎng)絡(luò)風(fēng)險(xiǎn)的藍(lán)圖。CSF的主要優(yōu)點(diǎn)在于，它可以為組織提供風(fēng)險(xiǎn)基線和易于理解的詞匯表——從初級(jí)員工到高層，甚至董事會(huì)。

CSF允許所有類型和規(guī)模的組織從以下五個(gè)關(guān)鍵功能區(qū)域識(shí)別和評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn):

1、識(shí)別——什么樣的數(shù)據(jù)和資產(chǎn)需要被保護(hù)?

2、保護(hù)——有哪些現(xiàn)有的方法可以保護(hù)這些資產(chǎn)?

3、檢測——怎樣才能檢測潛在的網(wǎng)絡(luò)威脅?

4、響應(yīng)——怎樣才能響應(yīng)安全事件?

5、恢復(fù)——怎樣從安全事件中恢復(fù)?

從這些功能區(qū)域識(shí)別風(fēng)險(xiǎn)后，組織必須優(yōu)先考慮和制定風(fēng)險(xiǎn)處理計(jì)劃。作為計(jì)劃的一部分，企業(yè)有以下選擇：

如果為低風(fēng)險(xiǎn)，則忽略

通過不參與引發(fā)風(fēng)險(xiǎn)的活動(dòng)來避免風(fēng)險(xiǎn)

通過投資新的安全技術(shù)來修復(fù)風(fēng)險(xiǎn)

轉(zhuǎn)移風(fēng)險(xiǎn)(例如網(wǎng)絡(luò)保險(xiǎn))，主要針對(duì)出現(xiàn)可能性低，但影響級(jí)別高的風(fēng)險(xiǎn)

使用正確的工具

在指定了計(jì)劃和發(fā)展路線之后，企業(yè)需要考慮的是如何實(shí)現(xiàn)這些網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略。第一步是確定實(shí)現(xiàn)計(jì)劃的可用資源。

目前網(wǎng)絡(luò)安全專家需求量大且雇傭費(fèi)用高。要找到擁有合適技能的人才十分困難，因此，企業(yè)可能需要獵頭企業(yè)或盡量自動(dòng)化流程。

企業(yè)規(guī)模越大，風(fēng)險(xiǎn)和威脅也就越大，手動(dòng)實(shí)現(xiàn)風(fēng)險(xiǎn)管理的方法并不能滿足需求，沒有自動(dòng)化和監(jiān)控工具，企業(yè)將面臨未能有效測量、不能保持一致且不在處理范圍內(nèi)的風(fēng)險(xiǎn)。自動(dòng)化風(fēng)險(xiǎn)和合規(guī)的技術(shù)使企業(yè)可以快速且有效地操作框架。

沒有合理使用風(fēng)險(xiǎn)管理技術(shù)的額外風(fēng)險(xiǎn)是可能會(huì)遭遇法律的審判。在泄露事件中，企業(yè)需要證明他們采取了合理的措施來積極防護(hù)此類事件。溫德姆連鎖酒店就曾受到過此類影響，在泄露了大量客戶信息后，該酒店被FTC以沒有安全維護(hù)客戶信息的罪名起訴。雖然溫德姆認(rèn)為FTC并沒有權(quán)利規(guī)范企業(yè)網(wǎng)絡(luò)安全，而且法院判決也確實(shí)沒有。

網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃的重要性怎么強(qiáng)調(diào)都不為過。采取主動(dòng)的方式來診斷風(fēng)險(xiǎn)可以使企業(yè)更好地掌握安全狀況，并阻止?jié)撛诘耐{。通過制定和實(shí)施綜合的風(fēng)險(xiǎn)管理計(jì)劃，企業(yè)可以保護(hù)內(nèi)部數(shù)據(jù)、客戶信息，并避免帶來深遠(yuǎn)影響的安全事故。