企業首先要保護哪些資產?如何找出風險漏洞?
文/屠震
網路安全是現代企業營運的一個重點,進行全面的風險評估對於保護關鍵資產相當重要。在本文中,我將探討「策略性網路風險管理」(strategic cyber risk management)的四個關鍵步驟,幫助組織識別漏洞並制定穩健的緩解策略:
第 1 步:定義關鍵資產
定義關鍵資產可能會是一項挑戰,因為不同的利害關係人往往有不同的觀點。例如,在全球電子商務公司中,技術長可能會優先考慮原始程式碼,而法務長則專注於反詐騙工具,而執行長則強調收入共享協議。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
為了解決這些分歧,具有業務和財務影響分析的風險評估方法可以幫助確定策略風險的優先順序。
其他識別關鍵資產的實用方法:包括考慮內部稽核範圍內的資產、IT 優先支援清單上的關鍵應用程式,以及包含機密資料或商業機密的系統。
第 2 步:採用國際認可的資安標準和控制措施
有許多公認的資安標準和實踐(例如 NIST 和 ISO 的標準和實踐)提供了寶貴的指導方針。選擇具有清晰且實用的實施步驟的控制措施是關鍵。
我建議從 IT 一般控制(IT General Control,ITGC)檢查表開始,它被廣泛用於沙賓法案(Sarbanes-Oxley Act,簡稱 SOX)合規性檢查。對於關鍵技術解決方案和相關安全性組態設定,如防火牆、網路設備、作業系統,網際網路安全中心(Center for Internet Security,CIS)提供 CIS 基準,為超過 25 個IT 和安全產品系列提供設定建議。
我們的下一步將是根據這些標準和基準對第一步中確定的關鍵資產進行風險評估。
第 3 步:確定風險優先順序並制定補救藍圖
風險評估揭示安全態勢中的漏洞和缺失。與頂級安全專家合作可以為你的安全環境提供有價值的見解。確定風險的優先順序對於建立補救籃圖和最佳化安全投資是很重要的。考慮具有成本效益的解決方案並首先解決簡單、低成本的問題。
[ 推薦文章:安全管理觀念正確的心態 ]
傳統的風險計算公式只考慮兩個因素:影響乘以機率,但我也會將補救成本除以相同的方程式以獲得最終的風險優先順序。當你的執行長詢問安全解決方案或緩解策略時,請強調你的行動基於徹底的風險評估,並且較低優先順序的風險已有現成的控制措施。
第 4 步:應用健全的安全管理實務
與典型的內部 IT 部門不同,大多數內部 IT 部門主要根據自己過去的努力進行績效衡量。然而安全團隊面對全球駭客的持續攻擊威脅,這些攻擊的動機是強大的經濟利益,甚至是有國家背後的支持。
這樣的風險情境,擁有一套精心設計的關鍵績效指標(KPI)將是關鍵,可以實現高效的日常異常管理並確保解決方案和控制必須具有可持續性。
應用網路安全管理系列文章致力於分享健全且永續的安全管理實務。有效的網路安全管理需要明確的框架/標準、健全的治理、明確的目標和 24/7 承諾。透過遵循上述四個關鍵步驟,組織可以加強其網路安全態勢並保護其最有價值的資產。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
