网络风险管理的三个关键词:协作、数据、评估
网络风险管理的三个关键词:协作、数据、评估
2018-11-29 14:26:53 来源:安全牛抢沙发
2018-11-29 14:26:53 来源:安全牛
摘要:由于风险无时无刻都在变化,企业需要能够科学的量化网络风险发生的可能性,这一点也是网络保险行业遇到的最大难题,虽然现在网络保险很热,但是纵观全球,大型保险公司也没有广泛的推广网络保险政策。
关键词:
网络风险管理
企业风险管理(ERM)的目标即企业可用最经济合理的方法来综合处理风险。过程可简述为对企业可能面临的各种风险进行评估,对其进行分类、量化,了解对风险的容忍度,并适时采取及时有效的方法进行防范和控制。
在过去,当企业着眼于风险管理时,财务风险、监管风险和运营风险为关注的重点,比如汇率、利率的变化,是否可以拿到生产许可,或者物流、仓库存在的隐患…当下,随着企业数字化程度的加深,网络风险日益受到企业管理层的关注,进入了风险管理目标的第一梯队,这给安全管理人员带来了新挑战:量化网络安全事件的商业影响是一项非常困难的任务,而量化此类事件发生的可能性则更为困难。
技术与业务的协作
在ERM框架中,“风险”这个词对不同的角色有着不同的含义。网络安全方面的负责人,往往关注于技术问题,例如,如果漏洞没有被修补,攻击者可利用它造成什么样的破坏。对于同样的问题,从业务的角度看到的可能是,存在漏洞可能会导致数据库被入侵,数据被窃取,将导致特定数量的业务损失,并会产生罚款和修复费用。对于企业的决策层来说,需要去确定一个降低风险的措施是否有意义,若是不能显着的降低风险,或者是风险涉及的系统并不关键,那么,最好把时间和金钱花在其他地方。
Gartner的分析师Brian Reed说过:技术人员和业务人员之间缺乏沟通,这是企业一直遇到的问题。业务人员不理解技术问题,技术人员不知道如何证明业务价值。
联邦快递习惯于为圣诞节前后发生的中断风险做计划,因为这是航运公司的旺季。然而,在2017年,一场勒索软件的袭击在6月份发生,造成了大约3亿美元的损失。可见,安全专家与业务部门的深入合作变得尤为重要,大家若多一些时间进行沟通,可以使对风险得管理变得更加有效。
投入更多的精力在企业数据的保护
近两年,网络风险最热的话题,非数据泄露莫属。数据泄露似乎每天都在发生,Facebook、Under Armour、AcFun、华住…用户数据是企业的宝贵财富,企业处理这些数据时面临着极大风险。想象一下,一觉醒来发现自己企业因数据泄露而占据各大新闻头条,是多么恐怖。
现今,相关法律、规范也越来越完善,例如2018年5月1日实施的《信息安全技术个人信息安全规范》、2018年5月25日,欧盟《通用数据保护条例》GDPR正式生效。若企业没有恰当地保护数据,会面临监管机构的严厉处罚。
至于具体的措施,除基于企业自身情况,做好数据治理、使用如访问控制、数据防泄漏、业务数据风险管理等相关的数据安全技术外,也不应忽视对内部员工的意识教育。
采用更多的评估方法
由于风险无时无刻都在变化,企业需要能够科学的量化网络风险发生的可能性,这一点也是网络保险行业遇到的最大难题,虽然现在网络保险很热,但是纵观全球,大型保险公司也没有广泛的推广网络保险政策。市场需求的增长也在推动保险行业从业者前行,近两年,网络保险的从业者也在不断优化风险评估的过程,比如引入“安全评级服务”,从外部的角度去衡量企业的风险,再结合传统的评估手段,如问卷、现场评估,可以使评估结果更加可靠。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。