適用于所有組織的風(fēng)險(xiǎn)管理原則,無論其規(guī)模大小。風(fēng)險(xiǎn)管理指南針對范圍廣泛的組織,,從個(gè)體經(jīng)營者到大型政府部門,。
本節(jié)描述一些基本的風(fēng)險(xiǎn)管理原則,這些原則對于大多數(shù)中小型企業(yè) (SME) 或個(gè)體經(jīng)營者來說就足夠了,。
其他部分描述了更適合大型組織的技術(shù),,這些組織具有復(fù)雜的相互關(guān)聯(lián)的風(fēng)險(xiǎn)和基礎(chǔ)設(shè)施。
從網(wǎng)絡(luò)安全基線開始
如果對安全控制存在無能為力的情況,,中小企業(yè)應(yīng)采用公認(rèn)的安全控制基線,,例如Cyber Essentials 中定義的基線,在我國則完全可以參考等級保護(hù)基本要求,。這種方法根本不需要任何風(fēng)險(xiǎn)分析,,只是應(yīng)用一些基本的安全控制并證明組織認(rèn)真對待網(wǎng)絡(luò)安全。確保選擇的安全基線考慮到組織必須遵守的任何法律和法規(guī),。在我國網(wǎng)絡(luò)安全等級保護(hù)是網(wǎng)絡(luò)安全領(lǐng)域的基本制度,,所以網(wǎng)絡(luò)安全等級保護(hù)根據(jù)保護(hù)級別,也正對應(yīng)網(wǎng)絡(luò)安全基線,。所謂合規(guī)≠安全,,但可以作為一個(gè)好的開始。
無論規(guī)模大小所有組織都面臨風(fēng)險(xiǎn)
許多網(wǎng)絡(luò)攻擊使用不分青紅皂白的散彈槍方法來瞄準(zhǔn)受害者,。如果是中小企業(yè)或個(gè)體經(jīng)營者,,那么和大型組織一樣有可能成為這些散彈攻擊的受害者。攻擊者可能不知道(或關(guān)心)您是誰,,直到他們攻陷您的組織,,并在組織中站穩(wěn)腳跟。
了解組織自身需要關(guān)心什么,,以及為什么
網(wǎng)絡(luò)安全既關(guān)乎技術(shù),,也關(guān)乎了解組織如何運(yùn)作??紤]哪些人員,、信息、技術(shù)和業(yè)務(wù)流程對組織至關(guān)重要,。如果不再能夠訪問它們(或者如果不再能夠控制它們)會發(fā)生什么,?例如,,組織可能能夠在沒有電子郵件的情況下正常運(yùn)行幾天,但失去客戶關(guān)系管理服務(wù)可能會阻止完成基本的日常任務(wù),。同樣,,某些信息(例如個(gè)人數(shù)據(jù))必須保密,但其他類型的信息可以在不受任何干擾的情況下發(fā)布,。這種基本的了解什么是你應(yīng)該計(jì)較,,為什么這很重要,應(yīng)該可以幫助確定最能保護(hù)組織的優(yōu)先級,。
想想可能會受到損害的情況
將決策的未來后果可視化的能力——其中一些無法輕易預(yù)測——對于風(fēng)險(xiǎn)管理至關(guān)重要,。無法探索可能受到損害的所有場景,但不應(yīng)該讓這些影響決策,。從做出的決定開始,,例如在組織中采用特定的密碼策略,并從那里向前推進(jìn)以探索后果,,這似乎很自然,。但是,從想要避免的結(jié)果開始,,然后向后工作可能會更有用,。
例如,可以想象以下結(jié)果:
客戶的個(gè)人資料已被泄露
- 并從那里向后工作,。因此,,在這種情況下,可能會問自己:
我們在泄漏之前做出了哪些決定,,這可能會加劇局勢,?
我們?yōu)槭裁醋龀鲞@些決定?
當(dāng)逆向思考工作時(shí),,應(yīng)該清楚地看到,,任何負(fù)面結(jié)果都可能以多種方式發(fā)生。所有這些都可以為組織提供有關(guān)如何最好地部署有限網(wǎng)絡(luò)安全資源的寶貴見解,,這只是如何使用這些技術(shù)的一個(gè)例子,。
接受一些風(fēng)險(xiǎn)
當(dāng)做出業(yè)務(wù)決策(例如在組織中部署某些新技術(shù))時(shí),將不得不接受它可能會受到攻擊,、破壞或以其他方式干擾的某些可能性,。我們都會經(jīng)歷風(fēng)險(xiǎn),因?yàn)槲磥硎遣淮_定的,,網(wǎng)絡(luò)風(fēng)險(xiǎn)也不例外,。
當(dāng)然并不是說可以忽略網(wǎng)絡(luò)風(fēng)險(xiǎn),而是說需要關(guān)注那些你實(shí)際上可以做些什么工作的風(fēng)險(xiǎn)。做到這一點(diǎn)取決于:
了解通過承擔(dān)給定的風(fēng)險(xiǎn)期望獲得什么
如果意識到這種風(fēng)險(xiǎn)會造成多大的傷害
可以花多少錢來保護(hù)自己
這一切都?xì)w結(jié)為判斷,。因此,,如果有人說某個(gè)特定框架或某項(xiàng)安全技術(shù)可以管理“所有網(wǎng)絡(luò)風(fēng)險(xiǎn)”,請對其所說的一切保持謹(jǐn)慎,。
平衡網(wǎng)絡(luò)風(fēng)險(xiǎn)與其他類型的風(fēng)險(xiǎn)
一些安全的措施可以減少一個(gè)類型的風(fēng)險(xiǎn),,而在其他地方增加的風(fēng)險(xiǎn)。
例如,,假設(shè)希望客戶的在線賬戶安全,,因此在網(wǎng)站上引入了強(qiáng)密碼要求??赡埽ㄒ部赡懿粫┙档鸵恍╋L(fēng)險(xiǎn),,但它可能會帶來客戶離開網(wǎng)站并前往競爭對手(整體用戶體驗(yàn)更好)的新風(fēng)險(xiǎn)。
雖然這并不是真正的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),,但它仍會影響組織業(yè)務(wù)開展,,將這兩種風(fēng)險(xiǎn)視為獨(dú)立且不相關(guān)的風(fēng)險(xiǎn)是不現(xiàn)實(shí)的。因此,,當(dāng)決定采用安全措施時(shí),需要衡量各方的影響,。
向其他組織學(xué)習(xí)安全解決方案
造車子很少需要重新發(fā)明輪子,,不提倡盲目復(fù)制安全解決方案而不考慮它們?nèi)绾芜m合自己的環(huán)境,但是可以從研究其他組織如何解決與類似的網(wǎng)絡(luò)安全問題中學(xué)到很多東西,。密切關(guān)注其他組織如何解決安全問題,。
留意網(wǎng)絡(luò)安全神話
與大多數(shù)職業(yè)一樣,網(wǎng)絡(luò)安全也有很多神話需要破除,。例如,,有一種說法是,基于云的基礎(chǔ)設(shè)施比使用自己的設(shè)備風(fēng)險(xiǎn)更大,。大型且信譽(yù)良好的云服務(wù)提供商通常擁有比大多數(shù)組織能夠負(fù)擔(dān)得起的更強(qiáng)大的安全安排,,所以這個(gè)說法是欠考慮的。同時(shí),,云也不是靈丹妙藥,,仍然需要確保用于訪問云服務(wù)的設(shè)備得到適當(dāng)合理保護(hù)。正確的觀點(diǎn)是:網(wǎng)絡(luò)安全在不斷變化,,所以要提防懶惰的假設(shè)和不加批判的思維,。
了解風(fēng)險(xiǎn)管理技術(shù)的優(yōu)缺點(diǎn)
風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和框架通常表現(xiàn)為孤立存在,可能會導(dǎo)致只需要理解和使用一種方法的假象,。應(yīng)對風(fēng)險(xiǎn)的方式有根本上的不同,。當(dāng)然,許多組織可能出于實(shí)際原因(例如資源限制)或確保遵守單項(xiàng)立法,而采用單一技術(shù)進(jìn)行風(fēng)險(xiǎn)管理,。在這種情況下,,需確保了解所應(yīng)用技術(shù)的優(yōu)缺點(diǎn)。