網絡風險管理的三個關鍵詞:協作、數據、評估
責編:gltian |2018-11-29 13:30:07企業風險管理(ERM)的目標即企業可用最經濟合理的方法來綜合處理風險。過程可簡述為對企業可能面臨的各種風險進行評估,對其進行分類、量化,了解對風險的容忍度,并適時采取及時有效的方法進行防范和控制。
在過去,當企業著眼于風險管理時,財務風險、監管風險和運營風險為關注的重點,比如匯率、利率的變化,是否可以拿到生產許可,或者物流、倉庫存在的隱患…當下,隨著企業數字化程度的加深,網絡風險日益受到企業管理層的關注,進入了風險管理目標的第一梯隊,這給安全管理人員帶來了新挑戰:量化網絡安全事件的商業影響是一項非常困難的任務,而量化此類事件發生的可能性則更為困難。
技術與業務的協作
在ERM框架中,“風險”這個詞對不同的角色有著不同的含義。網絡安全方面的負責人,往往關注于技術問題,例如,如果漏洞沒有被修補,攻擊者可利用它造成什么樣的破壞。對于同樣的問題,從業務的角度看到的可能是,存在漏洞可能會導致數據庫被入侵,數據被竊取,將導致特定數量的業務損失,并會產生罰款和修復費用。對于企業的決策層來說,需要去確定一個降低風險的措施是否有意義,若是不能顯著的降低風險,或者是風險涉及的系統并不關鍵,那么,最好把時間和金錢花在其他地方。
Gartner的分析師Brian Reed說過:技術人員和業務人員之間缺乏溝通,這是企業一直遇到的問題。業務人員不理解技術問題,技術人員不知道如何證明業務價值。
聯邦快遞習慣于為圣誕節前后發生的中斷風險做計劃,因為這是航運公司的旺季。然而,在2017年,一場勒索軟件的襲擊在6月份發生,造成了大約3億美元的損失。可見,安全專家與業務部門的深入合作變得尤為重要,大家若多一些時間進行溝通,可以使對風險得管理變得更加有效。
投入更多的精力在企業數據的保護
近兩年,網絡風險最熱的話題,非數據泄露莫屬。數據泄露似乎每天都在發生,Facebook、Under Armour、AcFun、華住…用戶數據是企業的寶貴財富,企業處理這些數據時面臨著極大風險。想象一下,一覺醒來發現自己企業因數據泄露而占據各大新聞頭條,是多么恐怖。
現今,相關法律、規范也越來越完善,例如2018年5月1日實施的《信息安全技術個人信息安全規范》、2018年5月25日,歐盟《通用數據保護條例》GDPR正式生效。若企業沒有恰當地保護數據,會面臨監管機構的嚴厲處罰。
至于具體的措施,除基于企業自身情況,做好數據治理、使用如訪問控制、數據防泄漏、業務數據風險管理等相關的數據安全技術外,也不應忽視對內部員工的意識教育。
采用更多的評估方法
由于風險無時無刻都在變化,企業需要能夠科學的量化網絡風險發生的可能性,這一點也是網絡保險行業遇到的最大難題,雖然現在網絡保險很熱,但是縱觀全球,大型保險公司也沒有廣泛的推廣網絡保險政策。市場需求的增長也在推動保險行業從業者前行,近兩年,網絡保險的從業者也在不斷優化風險評估的過程,比如引入“安全評級服務”,從外部的角度去衡量企業的風險,再結合傳統的評估手段,如問卷、現場評估,可以使評估結果更加可靠。
企業也可參照這種方式,通過評級或審計的方式來進行風險評估。目前,安全評估服務還是一個新興行業,全球專業從事安全評級服務的企業約10家,最早成立的PREVALENT注冊時間為2004年。其中,除了UpGuard及安全值外,全部企業均在美國注冊。(UpGuard原為一家澳洲初創企業,后把總部搬到了舊金山;安全值為中國團隊,總部在北京)。