网络安全的风险管理原则
2021-10-26
来源:祺印说信安
适用于所有组织的风险管理原则,无论其规模大小。风险管理指南针对范围广泛的组织,从个体经营者到大型政府部门。
本节描述一些基本的风险管理原则,这些原则对于大多数中小型企业 (SME) 或个体经营者来说就足够了。
其他部分描述了更适合大型组织的技术,这些组织具有复杂的相互关联的风险和基础设施。
从网络安全基线开始
如果对安全控制存在无能为力的情况,中小企业应采用公认的安全控制基线,例如Cyber Essentials 中定义的基线,在我国则完全可以参考等级保护基本要求。这种方法根本不需要任何风险分析,只是应用一些基本的安全控制并证明组织认真对待网络安全。确保选择的安全基线考虑到组织必须遵守的任何法律和法规。在我国网络安全等级保护是网络安全领域的基本制度,所以网络安全等级保护根据保护级别,也正对应网络安全基线。所谓合规≠安全,但可以作为一个好的开始。
无论规模大小所有组织都面临风险
许多网络攻击使用不分青红皂白的散弹枪方法来瞄准受害者。如果是中小企业或个体经营者,那么和大型组织一样有可能成为这些散弹攻击的受害者。攻击者可能不知道(或关心)您是谁,直到他们攻陷您的组织,并在组织中站稳脚跟。
了解组织自身需要关心什么,以及为什么
网络安全既关乎技术,也关乎了解组织如何运作。考虑哪些人员、信息、技术和业务流程对组织至关重要。如果不再能够访问它们(或者如果不再能够控制它们)会发生什么?例如,组织可能能够在没有电子邮件的情况下正常运行几天,但失去客户关系管理服务可能会阻止完成基本的日常任务。同样,某些信息(例如个人数据)必须保密,但其他类型的信息可以在不受任何干扰的情况下发布。这种基本的了解什么是你应该计较,为什么这很重要,应该可以帮助确定最能保护组织的优先级。
想想可能会受到损害的情况
将决策的未来后果可视化的能力——其中一些无法轻易预测——对于风险管理至关重要。无法探索可能受到损害的所有场景,但不应该让这些影响决策。从做出的决定开始,例如在组织中采用特定的密码策略,并从那里向前推进以探索后果,这似乎很自然。但是,从想要避免的结果开始,然后向后工作可能会更有用。
例如,可以想象以下结果:
客户的个人资料已被泄露
- 并从那里向后工作。因此,在这种情况下,可能会问自己:
我们在泄漏之前做出了哪些决定,这可能会加剧局势?
我们为什么做出这些决定?
当逆向思考工作时,应该清楚地看到,任何负面结果都可能以多种方式发生。所有这些都可以为组织提供有关如何最好地部署有限网络安全资源的宝贵见解,这只是如何使用这些技术的一个例子。
接受一些风险
当做出业务决策(例如在组织中部署某些新技术)时,将不得不接受它可能会受到攻击、破坏或以其他方式干扰的某些可能性。我们都会经历风险,因为未来是不确定的,网络风险也不例外。
当然并不是说可以忽略网络风险,而是说需要关注那些你实际上可以做些什么工作的风险。做到这一点取决于:
了解通过承担给定的风险期望获得什么
如果意识到这种风险会造成多大的伤害
可以花多少钱来保护自己
这一切都归结为判断。因此,如果有人说某个特定框架或某项安全技术可以管理“所有网络风险”,请对其所说的一切保持谨慎。
平衡网络风险与其他类型的风险
一些安全的措施可以减少一个类型的风险,而在其他地方增加的风险。
例如,假设希望客户的在线账户安全,因此在网站上引入了强密码要求。可能(也可能不会)降低一些风险,但它可能会带来客户离开网站并前往竞争对手(整体用户体验更好)的新风险。
虽然这并不是真正的网络安全风险,但它仍会影响组织业务开展,将这两种风险视为独立且不相关的风险是不现实的。因此,当决定采用安全措施时,需要衡量各方的影响。
向其他组织学习安全解决方案
造车子很少需要重新发明轮子,不提倡盲目复制安全解决方案而不考虑它们如何适合自己的环境,但是可以从研究其他组织如何解决与类似的网络安全问题中学到很多东西。密切关注其他组织如何解决安全问题。
留意网络安全神话
与大多数职业一样,网络安全也有很多神话需要破除。例如,有一种说法是,基于云的基础设施比使用自己的设备风险更大。大型且信誉良好的云服务提供商通常拥有比大多数组织能够负担得起的更强大的安全安排,所以这个说法是欠考虑的。同时,云也不是灵丹妙药,仍然需要确保用于访问云服务的设备得到适当合理保护。正确的观点是:网络安全在不断变化,所以要提防懒惰的假设和不加批判的思维。
了解风险管理技术的优缺点
风险管理标准和框架通常表现为孤立存在,可能会导致只需要理解和使用一种方法的假象。应对风险的方式有根本上的不同。当然,许多组织可能出于实际原因(例如资源限制)或确保遵守单项立法,而采用单一技术进行风险管理。在这种情况下,需确保了解所应用技术的优缺点。
