压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

數(shù)據(jù)泄露、勒索軟件以及其他類型的網(wǎng)絡(luò)攻擊行為，已經(jīng)為全球各地的企業(yè)造成了不可估量的損害，例如，無(wú)法挽回的聲譽(yù)損失（如Equifax）、收并購(gòu)價(jià)格的大幅縮水（如雅虎）亦或是全球范圍內(nèi)的業(yè)務(wù)中斷（如NotPetya勒索軟件受害者）等。

不過(guò)好消息是，日益嚴(yán)峻的威脅場(chǎng)景也順利地將網(wǎng)絡(luò)安全問(wèn)題從服務(wù)器機(jī)房推到了董事會(huì)的關(guān)注議程中。

此外，為了進(jìn)一步推動(dòng)企業(yè)對(duì)網(wǎng)絡(luò)安全問(wèn)題的關(guān)注，監(jiān)管機(jī)構(gòu)也正在積極推動(dòng)網(wǎng)絡(luò)安全議程，并對(duì)未及時(shí)修復(fù)安全漏洞和未能保護(hù)客戶數(shù)據(jù)的企業(yè)采取更為嚴(yán)厲和強(qiáng)硬的態(tài)度。例如，根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）規(guī)定，公司必須在72小時(shí)內(nèi)向當(dāng)局報(bào)告任何違反個(gè)人數(shù)據(jù)的行為，如果未能遵守，將面臨高達(dá) 2000萬(wàn)歐元或 4%年?duì)I業(yè)額的罰款（取較高者）。

可以這樣說(shuō)，如今，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已經(jīng)等同于整個(gè)企業(yè)業(yè)務(wù)風(fēng)險(xiǎn)。一旦企業(yè)遭受網(wǎng)絡(luò)攻擊，必然會(huì)對(duì)其整體業(yè)務(wù)造成無(wú)可估量的影響，不僅業(yè)務(wù)能否正常開(kāi)展成為問(wèn)題，還要為此承受沉重的經(jīng)濟(jì)損失（包括罰款、事件響應(yīng)及修復(fù)成本、業(yè)務(wù)中斷損失、客戶補(bǔ)償?shù)鹊龋?/p>

對(duì)于首席信息安全官和其他網(wǎng)絡(luò)安全專業(yè)人員來(lái)說(shuō)，網(wǎng)絡(luò)安全問(wèn)題成功升級(jí)至董事會(huì)議程，也可以幫助他們?cè)诙聲?huì)和C級(jí)高管會(huì)議中獲取一定的話語(yǔ)權(quán)，并獲得他們想要的資源和支持。不過(guò)，對(duì)于那些尚未做好準(zhǔn)備的信息安全專業(yè)人士而言，董事會(huì)對(duì)網(wǎng)絡(luò)安全問(wèn)題的重視將為他們?cè)斐刹簧俚呢?fù)擔(dān)。試想一下，作為信息安全專業(yè)人士的你，現(xiàn)在已經(jīng)成功取得了公司高層的關(guān)注，但是，你能有效地與他們進(jìn)行溝通嗎？你有能力成為一名“業(yè)務(wù)一致型”（business-aligned）的首席信息安全官嗎？

現(xiàn)在，讓我們站在企業(yè)C級(jí)高管和董事會(huì)的角度來(lái)思考這個(gè)問(wèn)題，看看網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)于他們究竟意味著什么：

首先，他們認(rèn)為網(wǎng)絡(luò)風(fēng)險(xiǎn)只是開(kāi)展業(yè)務(wù)的另一項(xiàng)成本，而且他們正在關(guān)注許多企業(yè)正在面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全并不是一個(gè)特殊的“臭鼬工廠”（SkunkWorks，借指擔(dān)任秘密研究計(jì)劃的地方）。當(dāng)然，它是一個(gè)需要大量技術(shù)專長(zhǎng)的領(lǐng)域，但運(yùn)營(yíng)、財(cái)務(wù)以及其他業(yè)務(wù)部門也是如此。

其次，他們習(xí)慣將風(fēng)險(xiǎn)呈現(xiàn)為金錢概念的“損失風(fēng)險(xiǎn)”。無(wú)論是市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)還是企業(yè)風(fēng)險(xiǎn)管理的其他組成部分，其他業(yè)務(wù)部門都能將這些風(fēng)險(xiǎn)可能造成的損失換算成一連串美元金額。通過(guò)這些數(shù)字，決策者可以設(shè)定“風(fēng)險(xiǎn)偏好”，即自己能夠承受的“損失風(fēng)險(xiǎn)”程度，并通過(guò)一系列舉措來(lái)控制這些“損失數(shù)字”，例如投入更多控制措施，購(gòu)買保險(xiǎn)等等。

現(xiàn)在，再讓我們站在信息安全團(tuán)隊(duì)的角度來(lái)看這個(gè)問(wèn)題，得到的觀點(diǎn)可能會(huì)完全不同。

事實(shí)上，信息安全專業(yè)人員的觀點(diǎn)通常是“以IT為中心”而非“以業(yè)務(wù)為導(dǎo)向”的觀點(diǎn)。在他們看來(lái)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可以通過(guò)成熟度評(píng)級(jí)來(lái)完成：例如，與IT行業(yè)最佳實(shí)踐清單進(jìn)行對(duì)比——假設(shè)“達(dá)標(biāo)”的條件越多便意味著風(fēng)險(xiǎn)越低；或是與IT行業(yè)其他人在安全方面的花費(fèi)進(jìn)行對(duì)比——假設(shè)花費(fèi)更多的便意味著風(fēng)險(xiǎn)更低。一些風(fēng)險(xiǎn)評(píng)級(jí)甚至可能基于信息風(fēng)險(xiǎn)團(tuán)隊(duì)的直覺(jué)/經(jīng)驗(yàn)——這些評(píng)級(jí)通常被標(biāo)記為“中等”、“高/低危”，或是被稱為“補(bǔ)丁”、“漏洞”或IT以外的人所不理解的其他術(shù)語(yǔ)。

很顯然，這些專業(yè)性過(guò)強(qiáng)的評(píng)級(jí)，都不是與高級(jí)管理層或董事會(huì)進(jìn)行有效溝通的合適工具，因?yàn)樗麄儧](méi)有按照其他業(yè)務(wù)部門能夠理解的方式來(lái)談?wù)擄L(fēng)險(xiǎn)。

一些網(wǎng)絡(luò)安全專家仍然堅(jiān)持，從財(cái)務(wù)角度來(lái)衡量網(wǎng)絡(luò)風(fēng)險(xiǎn)是不可能的。但目前，這種堅(jiān)硬的態(tài)度正在日漸消退。最近，全球分析公司Gartner就將“風(fēng)險(xiǎn)量化”列為其“運(yùn)營(yíng)綜合網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃的5大必備條件”之一。

衡量和量化風(fēng)險(xiǎn)的一種方法就是使用標(biāo)準(zhǔn)的信息風(fēng)險(xiǎn)因子分析（Factor Analysis of Information Risk，簡(jiǎn)稱FAIR）模型，該模型主要以財(cái)務(wù)術(shù)語(yǔ)來(lái)評(píng)估信息風(fēng)險(xiǎn)。這種方法可以通過(guò)從公司和行業(yè)來(lái)源收集有關(guān)網(wǎng)絡(luò)安全事件的數(shù)據(jù)，然后將不同類型的風(fēng)險(xiǎn)呈現(xiàn)為相應(yīng)的財(cái)務(wù)價(jià)值；同時(shí)，它也可以通過(guò)Monte Carlo模擬引擎運(yùn)行數(shù)據(jù)，再以財(cái)務(wù)形式生成損失風(fēng)險(xiǎn)值。

就信息風(fēng)險(xiǎn)因子分析（FAIR）模型而言，風(fēng)險(xiǎn)是未來(lái)?yè)p失的可能程度和可能頻率。等式的兩邊（即程度和頻率）都很重要。高程度且低頻率的可能是低風(fēng)險(xiǎn)；高頻率且低程度的可能會(huì)是高風(fēng)險(xiǎn)。

想要將業(yè)務(wù)與損失風(fēng)險(xiǎn)條款中的網(wǎng)絡(luò)風(fēng)險(xiǎn)保持一致的話，您需要采取下述一些步驟。

1. 了解業(yè)務(wù)的最大收益在哪里，以及它是如何創(chuàng)造出最大價(jià)值的；進(jìn)而了解在網(wǎng)絡(luò)攻擊事件中遭受財(cái)務(wù)影響最嚴(yán)重的地方是哪里。

通常來(lái)說(shuō)，電子商務(wù)的業(yè)務(wù)中斷，計(jì)劃、設(shè)計(jì)或其他知識(shí)產(chǎn)權(quán)被盜、從數(shù)據(jù)庫(kù)中泄露機(jī)密的客戶信息，這些都會(huì)導(dǎo)致銷售損失、市場(chǎng)份額損失、法律費(fèi)用、勞動(dòng)力成本等等。事實(shí)上，只需通過(guò)詢問(wèn)您的財(cái)務(wù)、人力資源、法律或運(yùn)營(yíng)部門，或是通過(guò)行業(yè)報(bào)告進(jìn)行擴(kuò)充，這些損失都是可以量化的。

2. 了解造成損失的可能性網(wǎng)絡(luò)事件的類型和發(fā)生頻率。

您的安全運(yùn)營(yíng)中心（SOC）或記錄網(wǎng)絡(luò)故障的部門將幫助您了解這些歷史網(wǎng)絡(luò)攻擊事件發(fā)生的事件和地點(diǎn)。將這些信息與威脅情報(bào)供應(yīng)商和行業(yè)報(bào)告（如Verizon數(shù)據(jù)泄露調(diào)查報(bào)告）相結(jié)合，將為您的企業(yè)提供有關(guān)未來(lái)網(wǎng)絡(luò)攻擊的相關(guān)預(yù)測(cè)和建議。