在2013年末,爆發(fā)了一場大規(guī)模的數(shù)據(jù)泄露事件��。黑客竊取了將近7000萬消費者的個人信息和信用卡信息��,該泄露事件最終造成1.6億美元是損失并且CEO和CIO引咎辭職。盡管此次事件影響范圍廣泛�����,但此類事件卻不在少數(shù)���。
在2013年末�����,爆發(fā)了一場大規(guī)模的數(shù)據(jù)泄露事件����。黑客竊取了將近7000萬消費者的個人信息和信用卡信息����,該泄露事件最終造成1.6億美元是損失并且CEO和CIO引咎辭職。盡管此次事件影響范圍廣泛�����,但此類事件卻不在少數(shù)���。
最近�����,LinkedIn發(fā)生了一次大規(guī)模的數(shù)據(jù)泄露事件��,官方稱這次是2012年的延伸�,黑客竊取了超過1億個用戶賬戶,并在網(wǎng)絡(luò)上售賣��。盡管LinkedIn在2012年的信息首次公開是建議用戶修改密碼����,但是直到四年后企業(yè)才決定取消這些已暴露的密碼。無獨有偶�����,地下黑市里也曝出了MySpace的用戶賬戶數(shù)據(jù)����,一時間國內(nèi)外風起云涌�����。
面對這些狀況���,企業(yè)必須從這些血淋淋的案例中吸取經(jīng)驗����。安全泄露事件不僅會導(dǎo)致清算時的財產(chǎn)損失,也會遭到聯(lián)邦貿(mào)易委員會(FTC)的罰款����、高管的辭職和名譽的損失。一份德勤報告指出����,安全問題是道德問題之后的影響企業(yè)聲譽的第二大因素。這些安全事件的影響會延續(xù)數(shù)年���,甚至影響企業(yè)的股價和產(chǎn)品銷售�����。
因此���,對于業(yè)務(wù)包含敏感數(shù)據(jù)的企業(yè)來說,適當進行網(wǎng)絡(luò)風險管理實踐培訓(xùn)是非常有必要的�。
利用安全框架
在幾年以前,建立網(wǎng)絡(luò)風險管理計劃是很難創(chuàng)建并實施的����,但是現(xiàn)在����,有很多框架可以幫助企業(yè)建立風險管理體系�����。國際標準化組織制定了ISO 27000��,來指導(dǎo)企業(yè)建立并完善信息安全管理系統(tǒng)����。美國國家標準與技術(shù)研究院(NIST)制定了被美國政府廣泛使用的風險管理框架。
2014年�,NIST制定了網(wǎng)絡(luò)安全框架(CSF),該框架被許多組織作為識別和管理日常網(wǎng)絡(luò)風險的藍圖���。CSF的主要優(yōu)點在于����,它可以為組織提供風險基線和易于理解的詞匯表——從初級員工到高層��,甚至董事會�。
CSF允許所有類型和規(guī)模的組織從以下五個關(guān)鍵功能區(qū)域識別和評估網(wǎng)絡(luò)風險:
1、識別——什么樣的數(shù)據(jù)和資產(chǎn)需要被保護?
2����、保護——有哪些現(xiàn)有的方法可以保護這些資產(chǎn)?
3、檢測——怎樣才能檢測潛在的網(wǎng)絡(luò)威脅?
4�����、響應(yīng)——怎樣才能響應(yīng)安全事件?
5��、恢復(fù)——怎樣從安全事件中恢復(fù)?
從這些功能區(qū)域識別風險后����,組織必須優(yōu)先考慮和制定風險處理計劃。作為計劃的一部分�,企業(yè)有以下選擇:
如果為低風險,則忽略
通過不參與引發(fā)風險的活動來避免風險
通過投資新的安全技術(shù)來修復(fù)風險
轉(zhuǎn)移風險(例如網(wǎng)絡(luò)保險)����,主要針對出現(xiàn)可能性低,但影響級別高的風險
使用正確的工具
在指定了計劃和發(fā)展路線之后��,企業(yè)需要考慮的是如何實現(xiàn)這些網(wǎng)絡(luò)風險管理策略�。第一步是確定實現(xiàn)計劃的可用資源。
目前網(wǎng)絡(luò)安全專家需求量大且雇傭費用高。要找到擁有合適技能的人才十分困難�,因此,企業(yè)可能需要獵頭企業(yè)或盡量自動化流程�。
企業(yè)規(guī)模越大,風險和威脅也就越大��,手動實現(xiàn)風險管理的方法并不能滿足需求�����,沒有自動化和監(jiān)控工具����,企業(yè)將面臨未能有效測量、不能保持一致且不在處理范圍內(nèi)的風險�。自動化風險和合規(guī)的技術(shù)使企業(yè)可以快速且有效地操作框架。
沒有合理使用風險管理技術(shù)的額外風險是可能會遭遇法律的審判����。在泄露事件中,企業(yè)需要證明他們采取了合理的措施來積極防護此類事件�。溫德姆連鎖酒店就曾受到過此類影響,在泄露了大量客戶信息后���,該酒店被FTC以沒有安全維護客戶信息的罪名起訴�。雖然溫德姆認為FTC并沒有權(quán)利規(guī)范企業(yè)網(wǎng)絡(luò)安全�����,而且法院判決也確實沒有�。
網(wǎng)絡(luò)風險管理計劃的重要性怎么強調(diào)都不為過。采取主動的方式來診斷風險可以使企業(yè)更好地掌握安全狀況��,并阻止?jié)撛诘耐{����。通過制定和實施綜合的風險管理計劃,企業(yè)可以保護內(nèi)部數(shù)據(jù)����、客戶信息,并避免帶來深遠影響的安全事故����。
