压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

新監(jiān)管規(guī)定層出不窮，威脅態(tài)勢(shì)不斷改變，公司企業(yè)需要采用新方法來(lái)評(píng)估安全風(fēng)險(xiǎn)。

過(guò)去2年中世界發(fā)生了很大變化，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的規(guī)則也發(fā)生了巨變。數(shù)字滲透的增加、風(fēng)險(xiǎn)界面的擴(kuò)大、網(wǎng)絡(luò)威脅影響的加重，讓風(fēng)險(xiǎn)管理變得更加復(fù)雜而重要。

然而，風(fēng)險(xiǎn)管理是當(dāng)今企業(yè)運(yùn)營(yíng)重要組成部分的概念卻尚未深入人心。據(jù)普華永道的調(diào)查研究，40%的愛(ài)爾蘭公司沒(méi)有進(jìn)行任何風(fēng)險(xiǎn)評(píng)估。

Gartner去年夏天的IT風(fēng)險(xiǎn)管理報(bào)告試圖解決風(fēng)險(xiǎn)管理領(lǐng)域越來(lái)越復(fù)雜的問(wèn)題，將市場(chǎng)劃分成了7個(gè)不同部分，包括：審計(jì)、供應(yīng)商風(fēng)險(xiǎn)管理和運(yùn)營(yíng)風(fēng)險(xiǎn)。 該咨詢公司畫(huà)出了包含ServiceNow、Dell/RSA Archer等10家供應(yīng)商的魔力象限圖，發(fā)現(xiàn)因?yàn)镮T客戶希望有更全面的解決方案可以部署到多種情況和工作流上，風(fēng)險(xiǎn)管理市場(chǎng)正在飛速發(fā)展。

事物發(fā)展太快，以致剛出才1年的報(bào)告都有些過(guò)時(shí)了。我們可以探索以下幾個(gè)發(fā)生改變的方面，討論該怎么改善過(guò)程、調(diào)整組織架構(gòu)和更好地了解及解決公司未來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

改變 1 ：安全是每個(gè)人責(zé)任

信息安全如今是整個(gè)企業(yè)都應(yīng)考慮的事，不再僅僅是IT部門(mén)的專屬領(lǐng)域。直到1年半之前，大多數(shù)公司都還將網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)視為自身IT部門(mén)的責(zé)任。現(xiàn)在的情況則大不一樣了，信息安全對(duì)今天的企業(yè)而言是個(gè)跨部門(mén)的挑戰(zhàn)，意味著風(fēng)險(xiǎn)管理變得越來(lái)越復(fù)雜，以往那種由IT部門(mén)全權(quán)負(fù)責(zé)的做法不再適用。

隨著公司企業(yè)將越來(lái)越多的服務(wù)和產(chǎn)品推上線，風(fēng)險(xiǎn)影響也波及到了全公司范圍。服務(wù)如今由公司不同部門(mén)托管，數(shù)據(jù)不再孤立，風(fēng)險(xiǎn)愈趨復(fù)雜。除此之外，惡意軟件威脅也越來(lái)越高端，更具針對(duì)性，更難以檢測(cè)，而數(shù)據(jù)泄露會(huì)影響到公司每一個(gè)人，摧毀客戶及合作伙伴關(guān)系，傷及上市公司股價(jià)。

改變 2：公司企業(yè)受到政府更嚴(yán)格的監(jiān)管

政府監(jiān)管變嚴(yán)推升了數(shù)據(jù)泄露事件的風(fēng)險(xiǎn)賭注和最終損失。公司企業(yè)將面臨更巨額的罰款，公共形象和信譽(yù)損失也不可小覷。這并不意味著公司企業(yè)應(yīng)僅出于合規(guī)目的而管理風(fēng)險(xiǎn)，這種幾年前的普遍做法如今已不合時(shí)宜。風(fēng)險(xiǎn)管理應(yīng)成為公司整體運(yùn)營(yíng)基因中的一環(huán)。

改變 3：網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估需要特殊的技能集

雖然全世界的商科大學(xué)都在教授整體風(fēng)險(xiǎn)管理，理解網(wǎng)絡(luò)風(fēng)險(xiǎn)卻仍需要特殊的技術(shù)與經(jīng)驗(yàn)的結(jié)合。網(wǎng)絡(luò)風(fēng)險(xiǎn)管理橫跨多個(gè)學(xué)科，IT安全經(jīng)理不應(yīng)僅負(fù)責(zé)可接受風(fēng)險(xiǎn)等級(jí)的決策。公司企業(yè)應(yīng)投入大量時(shí)間和精力來(lái)確定該怎么做才能保足夠安全，了解其中所涉及的過(guò)程。

脫離上下文談安全對(duì)公司毫無(wú)益處。關(guān)鍵就是找到掌握了該上下文的員工。風(fēng)險(xiǎn)評(píng)估往往是在項(xiàng)目結(jié)束時(shí)而不是開(kāi)始時(shí)才做，這樣是不對(duì)的。評(píng)估太過(guò)專業(yè)化，從未被當(dāng)成真正的業(yè)務(wù)價(jià)值增長(zhǎng)點(diǎn)來(lái)看待。

改善過(guò)程以更好地評(píng)估風(fēng)險(xiǎn)

IT安全管理人員如今必須從整體業(yè)務(wù)和安全上下文的角度更好地理解風(fēng)險(xiǎn)。為此，他們需與其他利益相關(guān)者協(xié)作，恰當(dāng)?shù)貏澐诛L(fēng)險(xiǎn)優(yōu)先級(jí)，重定義各自在量化和監(jiān)視風(fēng)險(xiǎn)工作中所擔(dān)負(fù)的角色職能。可以按下列步驟實(shí)施該過(guò)程：

第一步：得到管理層支持

包括董事會(huì)在內(nèi)的公司高層需更好地支持風(fēng)險(xiǎn)管理工作?？刹扇《嗖襟E措施繪制公司資產(chǎn)分布圖，建立起所有利益相關(guān)者都首肯的“風(fēng)險(xiǎn)登記簿”。風(fēng)險(xiǎn)管理應(yīng)區(qū)別于CISO的日常工作。

公司企業(yè)在這方面應(yīng)做更多核查與平衡。可以設(shè)立“首席風(fēng)險(xiǎn)官”職位，直接向CEO或CIO報(bào)告，并列席董事會(huì)會(huì)議。首席風(fēng)險(xiǎn)官的任務(wù)是找出公司的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，設(shè)立公司可接受風(fēng)險(xiǎn)閾值。

網(wǎng)絡(luò)風(fēng)險(xiǎn)管理應(yīng)融入到所有其他業(yè)務(wù)風(fēng)險(xiǎn)中，CISO需找到交付風(fēng)險(xiǎn)管理服務(wù)和安全的方法。很多公司只從技術(shù)角度處理網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題，但網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)納入總體風(fēng)險(xiǎn)管理當(dāng)中，并受到高管的領(lǐng)導(dǎo)。

另外，購(gòu)入新風(fēng)險(xiǎn)管理工具也需要來(lái)自高層的支持。人都有惰性，害怕改變，但作為CISO卻不得不學(xué)習(xí)怎樣闡述風(fēng)險(xiǎn)管理的重要性，學(xué)會(huì)贏得高層支持，幫助所屬機(jī)構(gòu)保護(hù)好各項(xiàng)資產(chǎn)，并展現(xiàn)出自身工作的價(jià)值。

第二步：定期評(píng)估漏洞

這個(gè)階段應(yīng)在整個(gè)企業(yè)范圍內(nèi)實(shí)現(xiàn)持續(xù)的風(fēng)險(xiǎn)評(píng)估了。了解公司業(yè)務(wù)情況是管理風(fēng)險(xiǎn)的最佳因素，包括網(wǎng)絡(luò)風(fēng)險(xiǎn)管理也需要了解業(yè)務(wù)情況。比如，要知道是什么在驅(qū)動(dòng)公司業(yè)務(wù)發(fā)展，哪些風(fēng)險(xiǎn)對(duì)公司業(yè)務(wù)有嚴(yán)重影響等等。

漏洞評(píng)估不過(guò)是個(gè)空洞的潮詞。如果不持續(xù)評(píng)估，不了解該評(píng)估些什么，那漏洞評(píng)估就沒(méi)有意義。理想情況下，評(píng)估應(yīng)更為細(xì)致，不僅僅展現(xiàn)出那些設(shè)備打了補(bǔ)丁，還應(yīng)具體到設(shè)備的配置是否正確。風(fēng)險(xiǎn)管理是一項(xiàng)復(fù)雜而長(zhǎng)期的工作，需要專注與自律。

第三步：執(zhí)行持續(xù)統(tǒng)一的風(fēng)險(xiǎn)評(píng)估

對(duì)很多企業(yè)而言，管理風(fēng)險(xiǎn)的主要軟件工具就是微軟Excel電子表格中的項(xiàng)目列表，手動(dòng)更新，位置不定。但這種做法已不適應(yīng)當(dāng)今商業(yè)社會(huì)。公司企業(yè)不再是每季度發(fā)布一次產(chǎn)品的靜態(tài)實(shí)體，如今他們與客戶的互動(dòng)更頻繁，互動(dòng)方式也橫跨網(wǎng)站和手機(jī)等不同設(shè)備。軟件更新頻率發(fā)展至每天甚至每小時(shí)一次。早上才推出的App，吃午飯時(shí)可能已不再是原來(lái)的代碼。這意味著必須進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估。