適用于所有組織的風(fēng)險管理原則,無論其規(guī)模大小。風(fēng)險管理指南針對范圍廣泛的組織,從個體經(jīng)營者到大型政府部門。
本節(jié)描述一些基本的風(fēng)險管理原則,這些原則對于大多數(shù)中小型企業(yè) (SME) 或個體經(jīng)營者來說就足夠了。
其他部分描述了更適合大型組織的技術(shù),這些組織具有復(fù)雜的相互關(guān)聯(lián)的風(fēng)險和基礎(chǔ)設(shè)施。
從網(wǎng)絡(luò)安全基線開始
如果對安全控制存在無能為力的情況,中小企業(yè)應(yīng)采用公認(rèn)的安全控制基線,例如Cyber Essentials 中定義的基線,在我國則完全可以參考等級保護(hù)基本要求。這種方法根本不需要任何風(fēng)險分析,只是應(yīng)用一些基本的安全控制并證明組織認(rèn)真對待網(wǎng)絡(luò)安全。確保選擇的安全基線考慮到組織必須遵守的任何法律和法規(guī)。在我國網(wǎng)絡(luò)安全等級保護(hù)是網(wǎng)絡(luò)安全領(lǐng)域的基本制度,所以網(wǎng)絡(luò)安全等級保護(hù)根據(jù)保護(hù)級別,也正對應(yīng)網(wǎng)絡(luò)安全基線。所謂合規(guī)≠安全,但可以作為一個好的開始。
無論規(guī)模大小所有組織都面臨風(fēng)險
許多網(wǎng)絡(luò)攻擊使用不分青紅皂白的散彈槍方法來瞄準(zhǔn)受害者。如果是中小企業(yè)或個體經(jīng)營者,那么和大型組織一樣有可能成為這些散彈攻擊的受害者。攻擊者可能不知道(或關(guān)心)您是誰,直到他們攻陷您的組織,并在組織中站穩(wěn)腳跟。
了解組織自身需要關(guān)心什么,以及為什么
網(wǎng)絡(luò)安全既關(guān)乎技術(shù),也關(guān)乎了解組織如何運作??紤]哪些人員、信息、技術(shù)和業(yè)務(wù)流程對組織至關(guān)重要。如果不再能夠訪問它們(或者如果不再能夠控制它們)會發(fā)生什么?例如,組織可能能夠在沒有電子郵件的情況下正常運行幾天,但失去客戶關(guān)系管理服務(wù)可能會阻止完成基本的日常任務(wù)。同樣,某些信息(例如個人數(shù)據(jù))必須保密,但其他類型的信息可以在不受任何干擾的情況下發(fā)布。這種基本的了解什么是你應(yīng)該計較,為什么這很重要,應(yīng)該可以幫助確定最能保護(hù)組織的優(yōu)先級。
想想可能會受到損害的情況
將決策的未來后果可視化的能力——其中一些無法輕易預(yù)測——對于風(fēng)險管理至關(guān)重要。無法探索可能受到損害的所有場景,但不應(yīng)該讓這些影響決策。從做出的決定開始,例如在組織中采用特定的密碼策略,并從那里向前推進(jìn)以探索后果,這似乎很自然。但是,從想要避免的結(jié)果開始,然后向后工作可能會更有用。
例如,可以想象以下結(jié)果:
客戶的個人資料已被泄露
- 并從那里向后工作。因此,在這種情況下,可能會問自己:
我們在泄漏之前做出了哪些決定,這可能會加劇局勢?
我們?yōu)槭裁醋龀鲞@些決定?
當(dāng)逆向思考工作時,應(yīng)該清楚地看到,任何負(fù)面結(jié)果都可能以多種方式發(fā)生。所有這些都可以為組織提供有關(guān)如何最好地部署有限網(wǎng)絡(luò)安全資源的寶貴見解,這只是如何使用這些技術(shù)的一個例子。
接受一些風(fēng)險
當(dāng)做出業(yè)務(wù)決策(例如在組織中部署某些新技術(shù))時,將不得不接受它可能會受到攻擊、破壞或以其他方式干擾的某些可能性。我們都會經(jīng)歷風(fēng)險,因為未來是不確定的,網(wǎng)絡(luò)風(fēng)險也不例外。
當(dāng)然并不是說可以忽略網(wǎng)絡(luò)風(fēng)險,而是說需要關(guān)注那些你實際上可以做些什么工作的風(fēng)險。做到這一點取決于:
了解通過承擔(dān)給定的風(fēng)險期望獲得什么
如果意識到這種風(fēng)險會造成多大的傷害
可以花多少錢來保護(hù)自己
這一切都?xì)w結(jié)為判斷。因此,如果有人說某個特定框架或某項安全技術(shù)可以管理“所有網(wǎng)絡(luò)風(fēng)險”,請對其所說的一切保持謹(jǐn)慎。
平衡網(wǎng)絡(luò)風(fēng)險與其他類型的風(fēng)險
一些安全的措施可以減少一個類型的風(fēng)險,而在其他地方增加的風(fēng)險。
例如,假設(shè)希望客戶的在線賬戶安全,因此在網(wǎng)站上引入了強(qiáng)密碼要求??赡埽ㄒ部赡懿粫┙档鸵恍╋L(fēng)險,但它可能會帶來客戶離開網(wǎng)站并前往競爭對手(整體用戶體驗更好)的新風(fēng)險。
雖然這并不是真正的網(wǎng)絡(luò)安全風(fēng)險,但它仍會影響組織業(yè)務(wù)開展,將這兩種風(fēng)險視為獨立且不相關(guān)的風(fēng)險是不現(xiàn)實的。因此,當(dāng)決定采用安全措施時,需要衡量各方的影響。
向其他組織學(xué)習(xí)安全解決方案
造車子很少需要重新發(fā)明輪子,不提倡盲目復(fù)制安全解決方案而不考慮它們?nèi)绾芜m合自己的環(huán)境,但是可以從研究其他組織如何解決與類似的網(wǎng)絡(luò)安全問題中學(xué)到很多東西。密切關(guān)注其他組織如何解決安全問題。
留意網(wǎng)絡(luò)安全神話
與大多數(shù)職業(yè)一樣,網(wǎng)絡(luò)安全也有很多神話需要破除。例如,有一種說法是,基于云的基礎(chǔ)設(shè)施比使用自己的設(shè)備風(fēng)險更大。大型且信譽(yù)良好的云服務(wù)提供商通常擁有比大多數(shù)組織能夠負(fù)擔(dān)得起的更強(qiáng)大的安全安排,所以這個說法是欠考慮的。同時,云也不是靈丹妙藥,仍然需要確保用于訪問云服務(wù)的設(shè)備得到適當(dāng)合理保護(hù)。正確的觀點是:網(wǎng)絡(luò)安全在不斷變化,所以要提防懶惰的假設(shè)和不加批判的思維。
了解風(fēng)險管理技術(shù)的優(yōu)缺點
風(fēng)險管理標(biāo)準(zhǔn)和框架通常表現(xiàn)為孤立存在,可能會導(dǎo)致只需要理解和使用一種方法的假象。應(yīng)對風(fēng)險的方式有根本上的不同。當(dāng)然,許多組織可能出于實際原因(例如資源限制)或確保遵守單項立法,而采用單一技術(shù)進(jìn)行風(fēng)險管理。在這種情況下,需確保了解所應(yīng)用技術(shù)的優(yōu)缺點。