网络安全的 10 个步骤之风险管理
首先再次祝大家国庆节快乐,假期收获满满!
采取基于风险的方法来保护数据和系统。
承担风险是做生意的自然组成部分。风险管理为决策提供信息,以便在威胁和机会之间取得适当的平衡,以最好地实现组织业务目标。网络安全领域的风险管理有助于确保以最适当的方式保护组织中的技术、系统和信息,并将资源集中在对组织业务最重要的事情上。良好的风险管理方法将贯穿整个组织,并补充管理其他业务风险的方式。
有什么好处?
良好的风险管理:
告知并改进决策有助于在整个组织中下发决策,同时保持适当的董事会级别的监督
为适应和有效应对出现的新威胁和机遇奠定基础
无论网络风险管理的新手,还是正在尝试评估现有方法的有效性,本指南都将帮助了解在组织环境中什么是良好的风险管理方法 。
该怎么办?
考虑想要管理网络风险的更广泛的背景。
想想组织做什么,以及关心什么。业务优先级和目标是什么?这似乎是网络安全的一个奇怪起点,但它为网络风险管理奠定了基础。网络风险管理与组织想要实现的目标无关,而是应该支持组织目标。考虑愿意(或不愿意)通过技术来实现目标和目标的风险将帮助组织决定采取哪些步骤来管理网络安全风险。
考虑采用何种治理结构来管理其他类型的业务风险。网络风险的管理和沟通如何适应这些结构?有效的治理对于良好的网络安全风险管理很重要,因为它控制和指导组织为管理其面临的网络安全风险而采取的活动和行动。管理网络安全相关风险的方法应以适合组织的方式有效管理。
确保组织有足够的由董事会批准和拥有的政策,为整个组织制定风险管理战略,并在适当的其他组织政策中考虑网络安全。应该确保董事会集体对网络安全有足够的了解,以便他们了解网络安全如何支持其整体组织目标。他们应该在他们需要的时候以他们理解的格式获取他们需要的信息,以便做出决策。
了解需要在何处应用网络风险管理
考虑组织为实现其组织目标和优先事项而使用和依赖的技术、系统、服务和信息的范围。应该使用各种信息来源来帮助您确定此范围。例如,对于现有系统,可以使用资产登记册和系统图;对于开发中的系统,可以从高级设计开始。与系统或服务的使用、管理人员或受其影响的人员交谈,还可以深入了解要保护的内容及其原因。
请记住包括可能不受直接控制但仍属于您组织更广泛风险问题的一部分(例如供应链、第三方服务和云服务的使用)。
不要忘记考虑人们如何与技术、系统和服务交互。如何支持他们以安全和可用的方式执行此操作有助于管理组织的网络安全风险。系统涉及人员、流程和技术,网络风险管理方法应考虑到这些不同的元素以及它们如何相互作用。
选择适合组织的网络安全风险管理方法
考虑哪种网络安全风险管理方法或方法组合适合组织。有许多工具、方法、框架和标准可供选择——有些可能是通过标准或法规规定的,有些需要付费,有些则可以免费使用。选择一种适合业务并且能够揭示有关系统和服务的良好风险信息的方法非常重要。
了解并不总是需要进行详细的风险评估。例如,可以使用Cyber Essentials等基线来提供有关保护组织免受最常见的基于 Internet 的攻击所需的基本控制的信息。然而,单独使用诸如 Cyber Essentials 之类的基线有其局限性,因为只有 Cyber Essentials 计划通常考虑的风险才会被其推荐的控制措施覆盖。它们并非旨在管理组织可能面临的所有网络安全相关风险。为了获得更量身定制的视角,组织需要对自身进行风险分析和评估,以满足自身的特定需求。
不同的方法提供了不同的风险视角。将需要使用多种方法和方法的组合,以尽可能最好地了解所面临的风险。
了解面临的风险以及如何管理它们
使用选择的方法来识别、分析、评估和确定风险的优先级,并就将如何管理这些风险做出决策。例如,是否打算通过应用一些技术或非技术控制来降低风险?是否会接受风险并继续进行而不采取任何进一步的行动来减轻它?是否打算将风险转移给其他人(例如考虑网络安全保险)?或者是否打算通过改变组织成员行为来消除风险发生的机会来避免风险?
确保正在考虑各种风险信息,并从专家或可信赖的信息来源中寻找信息。还可以考虑加入行业和政府内部的知识共享合作伙伴关系(例如 CiSP 信息共享平台,它允许英国组织在安全和机密的环境中共享网络威胁信息)。
请记住,如果选择应用控制来管理风险,应该确保这些控制与风险成比例、可用且不会对业务运作方式产生不利影响。
就网络风险和网络风险管理进行有效沟通
确保将风险管理方法有效地传达给员工和决策者,以便他们了解应如何管理网络安全风险并帮助他们做出相关决策。
确保以适合贵组织谈论其他类型风险(例如法律或财务风险)的方式传达网络风险。
确保使用有意义的语言并充分解释使用的任何风险标签或评分。使用无意义或沟通不畅的标签会导致误解和误解。例如,在组织中,每个人对什么构成中等风险的解释是否相同?
应用并寻求对选择的控件的信心
应用选择的控制来降低系统和服务的风险。此集合中的以下步骤可以帮助组织应用适当的安全控制和缓解措施:体系结构和配置、漏洞管理、身份和访问管理、数据安全以及日志记录和监控。
确保了解应用控制后仍存在哪些风险。无论是应用一套针对组织风险定制的控制措施,还是基于 Cyber Essentials 等基线,都不可能完全消除风险。剩余风险(称为剩余风险)应由组织内负责风险的人员理解。
确保采取的缓解措施包有效地管理了确定的风险,并考虑在系统在未来使用时如何保持这种信心。
不断改进风险管理方法
请记住,风险管理是一个迭代过程。技术在变化,商业环境及其相关的威胁和机遇也在变化。
定期审查风险,以确保决定管理风险的方式仍然有效和适当。特别是,当发生重大变化时,应该重新审视风险评估。这可能是当面临的威胁发生变化时,或者当更改用于交付和管理系统或服务的技术时,或者当使用系统的方式发生重大变化时。
还需要审查用于风险管理的方法、框架和工具,以确保它们在业务环境中以及面对不断发展的网络安全和威胁形势时继续有效。
参考来源:英国国家网络安全中心官网