压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

數(shù)據(jù)泄露、勒索軟件以及其他類型的網(wǎng)絡(luò)攻擊行為，已經(jīng)為全球各地的企業(yè)造成了不可估量的損害，例如，無法挽回的聲譽損失（如Equifax）、收并購價格的大幅縮水（如雅虎）亦或是全球范圍內(nèi)的業(yè)務(wù)中斷（如NotPetya勒索軟件受害者）等。

不過好消息是，日益嚴峻的威脅場景也順利地將網(wǎng)絡(luò)安全問題從服務(wù)器機房推到了董事會的關(guān)注議程中。

此外，為了進一步推動企業(yè)對網(wǎng)絡(luò)安全問題的關(guān)注，監(jiān)管機構(gòu)也正在積極推動網(wǎng)絡(luò)安全議程，并對未及時修復安全漏洞和未能保護客戶數(shù)據(jù)的企業(yè)采取更為嚴厲和強硬的態(tài)度。例如，根據(jù)歐盟《通用數(shù)據(jù)保護條例》（GDPR）規(guī)定，公司必須在72小時內(nèi)向當局報告任何違反個人數(shù)據(jù)的行為，如果未能遵守，將面臨高達 2000萬歐元或 4%年營業(yè)額的罰款（取較高者）。

可以這樣說，如今，網(wǎng)絡(luò)安全風險已經(jīng)等同于整個企業(yè)業(yè)務(wù)風險。一旦企業(yè)遭受網(wǎng)絡(luò)攻擊，必然會對其整體業(yè)務(wù)造成無可估量的影響，不僅業(yè)務(wù)能否正常開展成為問題，還要為此承受沉重的經(jīng)濟損失（包括罰款、事件響應及修復成本、業(yè)務(wù)中斷損失、客戶補償?shù)鹊龋?/p>

對于首席信息安全官和其他網(wǎng)絡(luò)安全專業(yè)人員來說，網(wǎng)絡(luò)安全問題成功升級至董事會議程，也可以幫助他們在董事會和C級高管會議中獲取一定的話語權(quán)，并獲得他們想要的資源和支持。不過，對于那些尚未做好準備的信息安全專業(yè)人士而言，董事會對網(wǎng)絡(luò)安全問題的重視將為他們造成不少的負擔。試想一下，作為信息安全專業(yè)人士的你，現(xiàn)在已經(jīng)成功取得了公司高層的關(guān)注，但是，你能有效地與他們進行溝通嗎？你有能力成為一名“業(yè)務(wù)一致型”（business-aligned）的首席信息安全官嗎？

現(xiàn)在，讓我們站在企業(yè)C級高管和董事會的角度來思考這個問題，看看網(wǎng)絡(luò)風險對于他們究竟意味著什么：

首先，他們認為網(wǎng)絡(luò)風險只是開展業(yè)務(wù)的另一項成本，而且他們正在關(guān)注許多企業(yè)正在面臨的網(wǎng)絡(luò)風險。網(wǎng)絡(luò)安全并不是一個特殊的“臭鼬工廠”（SkunkWorks，借指擔任秘密研究計劃的地方）。當然，它是一個需要大量技術(shù)專長的領(lǐng)域，但運營、財務(wù)以及其他業(yè)務(wù)部門也是如此。

其次，他們習慣將風險呈現(xiàn)為金錢概念的“損失風險”。無論是市場風險、信用風險還是企業(yè)風險管理的其他組成部分，其他業(yè)務(wù)部門都能將這些風險可能造成的損失換算成一連串美元金額。通過這些數(shù)字，決策者可以設(shè)定“風險偏好”，即自己能夠承受的“損失風險”程度，并通過一系列舉措來控制這些“損失數(shù)字”，例如投入更多控制措施，購買保險等等。

現(xiàn)在，再讓我們站在信息安全團隊的角度來看這個問題，得到的觀點可能會完全不同。

事實上，信息安全專業(yè)人員的觀點通常是“以IT為中心”而非“以業(yè)務(wù)為導向”的觀點。在他們看來，網(wǎng)絡(luò)安全風險可以通過成熟度評級來完成：例如，與IT行業(yè)最佳實踐清單進行對比——假設(shè)“達標”的條件越多便意味著風險越低；或是與IT行業(yè)其他人在安全方面的花費進行對比——假設(shè)花費更多的便意味著風險更低。一些風險評級甚至可能基于信息風險團隊的直覺/經(jīng)驗——這些評級通常被標記為“中等”、“高/低危”，或是被稱為“補丁”、“漏洞”或IT以外的人所不理解的其他術(shù)語。

很顯然，這些專業(yè)性過強的評級，都不是與高級管理層或董事會進行有效溝通的合適工具，因為他們沒有按照其他業(yè)務(wù)部門能夠理解的方式來談?wù)擄L險。

一些網(wǎng)絡(luò)安全專家仍然堅持，從財務(wù)角度來衡量網(wǎng)絡(luò)風險是不可能的。但目前，這種堅硬的態(tài)度正在日漸消退。最近，全球分析公司Gartner就將“風險量化”列為其“運營綜合網(wǎng)絡(luò)風險管理計劃的5大必備條件”之一。

衡量和量化風險的一種方法就是使用標準的信息風險因子分析（Factor Analysis of Information Risk，簡稱FAIR）模型，該模型主要以財務(wù)術(shù)語來評估信息風險。這種方法可以通過從公司和行業(yè)來源收集有關(guān)網(wǎng)絡(luò)安全事件的數(shù)據(jù)，然后將不同類型的風險呈現(xiàn)為相應的財務(wù)價值；同時，它也可以通過Monte Carlo模擬引擎運行數(shù)據(jù)，再以財務(wù)形式生成損失風險值。

就信息風險因子分析（FAIR）模型而言，風險是未來損失的可能程度和可能頻率。等式的兩邊（即程度和頻率）都很重要。高程度且低頻率的可能是低風險；高頻率且低程度的可能會是高風險。

想要將業(yè)務(wù)與損失風險條款中的網(wǎng)絡(luò)風險保持一致的話，您需要采取下述一些步驟。

1. 了解業(yè)務(wù)的最大收益在哪里，以及它是如何創(chuàng)造出最大價值的；進而了解在網(wǎng)絡(luò)攻擊事件中遭受財務(wù)影響最嚴重的地方是哪里。

通常來說，電子商務(wù)的業(yè)務(wù)中斷，計劃、設(shè)計或其他知識產(chǎn)權(quán)被盜、從數(shù)據(jù)庫中泄露機密的客戶信息，這些都會導致銷售損失、市場份額損失、法律費用、勞動力成本等等。事實上，只需通過詢問您的財務(wù)、人力資源、法律或運營部門，或是通過行業(yè)報告進行擴充，這些損失都是可以量化的。

2. 了解造成損失的可能性網(wǎng)絡(luò)事件的類型和發(fā)生頻率。

您的安全運營中心（SOC）或記錄網(wǎng)絡(luò)故障的部門將幫助您了解這些歷史網(wǎng)絡(luò)攻擊事件發(fā)生的事件和地點。將這些信息與威脅情報供應商和行業(yè)報告（如Verizon數(shù)據(jù)泄露調(diào)查報告）相結(jié)合，將為您的企業(yè)提供有關(guān)未來網(wǎng)絡(luò)攻擊的相關(guān)預測和建議。