Share via

風險管理見解

  • 文章

企業營運伴隨著風險。 安全性小組的角色是告知並建議決策者,安全性風險如何調適到架構中。 安全性的目標是要了解您的業務,然後使用其安全性專業知識來識別商務目標和資產的風險。 然後,安全性會針對各個風險對您的決策者提出建言,然後建議哪些風險是可接受的。 這項資訊可讓您了解這些決策的責任在於您的資產或程序擁有者。

注意

風險責任的一般規則是:

擁有和接受風險的人,就是向世界說明哪裡發生錯誤的人 (通常會在攝影機前面)。

在成熟的情況下,安全性的目標是要公開並減輕風險,然後讓企業能夠以最低的風險來變更。 該成熟度層級需要風險深入解析和深度安全性整合。 在您組織的任何成熟度層級中,最重要的安全性風險應該會出現在風險註冊上。 這些風險接著會向下管理到可接受的層級。

觀看下列影片,以瞭解安全性一致性,以及如何管理組織內的風險。

什麼是網路安全性風險?

網路安全性風險是業務資產、收益和信譽的潛在損害或破壞。 這項損害的原因是有人類攻擊者試圖竊取金錢、資訊或技術。

雖然這些攻擊是在技術環境中發生,但是通常代表整個組織的風險。 網路安全性風險應該符合您的風險測量、追蹤和緩和架構。 許多組織仍然將網路安全性風險視為要解決的技術問題。 這樣的認知會導致錯誤的結論,而不會降低風險對於企業的策略影響。

下圖顯示從一般技術導向程式移至商務架構。

此圖顯示從一般技術導向計畫移轉至商務架構的圖表。

安全性領導人必須回頭從技術觀點來看,並了解哪些資產和資料對企業領導人而言很重要。 然後設定小組花費時間、注意力和預算與業務重要性如何相關的優先順序。 當安全性和 IT 小組逐步進行解決方案時,就會重新回到技術觀點。 但是,只將網路安全性風險視為技術問題,會有解決錯誤問題的風險。

調整安全性風險管理

持續努力在網路安全性和您的組織領導之間建立更強的橋樑。 此概念適用於人類關聯性和明確的程序。 安全性風險的本質,以及商業商機的發散動態,會一直變動。 安全性風險來源需要持續投資來建置和改進此關聯性。

此關聯性的關鍵是了解商務價值如何連接到特定的技術資產。 如果沒有此方向,安全性就無法確定對貴組織而言最重要的是什麼。 他們能夠成功保護最重要的資產,純粹只是幸運猜測到。

請務必立即開始此程序。 一開始先深入了解您組織中的敏感性和業務關鍵資產。

開始這項轉換的一般程序如下:

  1. 以雙向關聯性來調整企業
    • 使用自己的語言進行通訊,以使用適合商務的術語來說明安全性威脅。 這種說明有助於量化風險以及對整體商務策略和任務的影響。
    • 與企業內的人員交談,積極聆聽並學習。 如果重要商務服務和資訊遭到入侵或有了缺口,致力於了解其影響。 這項了解可讓您對投資原則、標準、訓練和安全性控制的重要性有清楚的見解。
  2. 轉譯學習,將與商務優先順序和風險相關的學習轉譯為具體且持續性的動作,例如:
    • 短期著重在處理重要性優先順序。
      • 使用適當的安全性控制來保護重要資產和高價值的資訊。 這些控制項會提高安全性,同時實現企業生產力。
      • 專注於最有可能造成業務影響的立即和新興威脅。
      • 監視業務策略和方案中的變更,以保持一致。
    • 長期設定方向和優先順序,隨著時間推移穩定進行,從而改善整體安全性狀態。
      • 使用零信任來建立策略、計劃和架構,以降低組織的風險。 讓小組與假設有缺口、最低權限及明確驗證的零信任準則保持一致。 採用這些準則會從靜態控制轉移到更動態的風險式決策。 無論威脅是從哪裡開始,這些決策都是根據奇怪行為的即時偵測。
      • 藉由在組織中操作安全性最佳做法,以一致的策略來清償技術債務。 例如,將密碼型驗證取代為無密碼和多重要素驗證、套用安全性修補程式,以及淘汰或隔離舊版系統。 如同支付抵押貸款,您必須穩定的付款,才能實現您投資的完整權益和價值。
      • 套用資料分類、敏感度標籤和角色型存取控制,以保護資料免於在其生命週期當中遺失或洩漏。 這些努力無法完全掌握動態本質和豐富的商務內容和深入解析。 但是這些金鑰啟用程式是用來引導資訊保護和治理,以限制攻擊的潛在影響。
  3. 明確地練習、溝通和公開將正確的行為模型化,建立健康的安全性文化特性。 文化特性應著重於企業、IT 和安全性同事之間的開放共同作業。 然後將焦點套用至持續學習的「成長思維」。 著重於從安全性、IT 和大型企業組織中移除照單全收的文化變更。 這些變更能達到更高的知識共用和復原能力層級。

如需詳細資訊,請參閱定義安全性策略

了解網路安全性風險

網路安全性風險的原因是有人類攻擊者試圖竊取金錢、資訊或技術。 請務必了解這些攻擊者的動機和行為模式。

動機

不同類型攻擊者的動機和激勵原因,會反映合法組織的情況。

顯示攻擊者動機的圖表。

了解攻擊者的動機可協助您了解不同類型攻擊的可能性和潛在影響。 雖然安全性策略和最重要的技術控制項在組織之間是相似的,但是此內容可協助引導您的安全性投資焦點區域。

如需詳細資訊,請參閱中斷攻擊者投資報酬率

行為模式

組織面對一群可塑造其行為的人類攻擊者模型:

  • 商品:組織通常會面臨的大部分威脅都是由財務投資報酬率 (ROI) 的攻擊者所推動。 這些攻擊者通常會使用最便宜且最有效的可用工具和方法。 這些攻擊的複雜度 (例如,隱匿和工具) 通常會隨著新方法通過驗證並且可提供大規模使用而成長。

  • 前沿:複雜的攻擊群組是由長期任務成果所驅動,而且通常有資金贊助。 此資金是用來專注於創新。 此創新可能包括在攻擊活動中投資供應鏈攻擊或變更策略,以妨礙偵測和調查。

一般來說,攻擊者是:

  • 靈活:他們使用一個以上的攻擊向量來進入網路。
  • 目標驅動:他們會藉由存取您的環境來達成已定義的目的。 目標可能是您的人員、資料或應用程式,但您也可以符合特定的目標類別。 例如,「可能需要付費才能還原資料和系統存取權的獲利公司」。
  • 隱身:他們採取預防措施來移除辨識項或隱藏其行蹤,通常有不同的投資和優先權層級。
  • 耐心:他們需要一些時間來執行偵察,以了解您的基礎結構和商務環境。
  • 完善的資源和技能:他們受過目標技術的訓練,儘管技能深度各有不同。
  • 經驗豐富:他們使用既有的技術和工具取得較高的權限,以存取或控制資產的不同層面。

後續步驟

若要讓風險管理生效,必須將其納入治理和合規性活動的所有層面。 為了妥善評估風險,必須一律將安全性視為全方位方法的一部分。