適用于所有組織的風險管理原則,無論其規模大小。風險管理指南針對范圍廣泛的組織,從個體經營者到大型政府部門。
本節描述一些基本的風險管理原則,這些原則對于大多數中小型企業 (SME) 或個體經營者來說就足夠了。
其他部分描述了更適合大型組織的技術,這些組織具有復雜的相互關聯的風險和基礎設施。
從網絡安全基線開始
如果對安全控制存在無能為力的情況,中小企業應采用公認的安全控制基線,例如Cyber Essentials 中定義的基線,在我國則完全可以參考等級保護基本要求。這種方法根本不需要任何風險分析,只是應用一些基本的安全控制并證明組織認真對待網絡安全。確保選擇的安全基線考慮到組織必須遵守的任何法律和法規。在我國網絡安全等級保護是網絡安全領域的基本制度,所以網絡安全等級保護根據保護級別,也正對應網絡安全基線。所謂合規≠安全,但可以作為一個好的開始。
無論規模大小所有組織都面臨風險
許多網絡攻擊使用不分青紅皂白的散彈槍方法來瞄準受害者。如果是中小企業或個體經營者,那么和大型組織一樣有可能成為這些散彈攻擊的受害者。攻擊者可能不知道(或關心)您是誰,直到他們攻陷您的組織,并在組織中站穩腳跟。
了解組織自身需要關心什么,以及為什么
網絡安全既關乎技術,也關乎了解組織如何運作。考慮哪些人員、信息、技術和業務流程對組織至關重要。如果不再能夠訪問它們(或者如果不再能夠控制它們)會發生什么?例如,組織可能能夠在沒有電子郵件的情況下正常運行幾天,但失去客戶關系管理服務可能會阻止完成基本的日常任務。同樣,某些信息(例如個人數據)必須保密,但其他類型的信息可以在不受任何干擾的情況下發布。這種基本的了解什么是你應該計較,為什么這很重要,應該可以幫助確定最能保護組織的優先級。
想想可能會受到損害的情況
將決策的未來后果可視化的能力——其中一些無法輕易預測——對于風險管理至關重要。無法探索可能受到損害的所有場景,但不應該讓這些影響決策。從做出的決定開始,例如在組織中采用特定的密碼策略,并從那里向前推進以探索后果,這似乎很自然。但是,從想要避免的結果開始,然后向后工作可能會更有用。
例如,可以想象以下結果:
客戶的個人資料已被泄露
- 并從那里向后工作。因此,在這種情況下,可能會問自己:
我們在泄漏之前做出了哪些決定,這可能會加劇局勢?
我們為什么做出這些決定?
當逆向思考工作時,應該清楚地看到,任何負面結果都可能以多種方式發生。所有這些都可以為組織提供有關如何最好地部署有限網絡安全資源的寶貴見解,這只是如何使用這些技術的一個例子。
接受一些風險
當做出業務決策(例如在組織中部署某些新技術)時,將不得不接受它可能會受到攻擊、破壞或以其他方式干擾的某些可能性。我們都會經歷風險,因為未來是不確定的,網絡風險也不例外。
當然并不是說可以忽略網絡風險,而是說需要關注那些你實際上可以做些什么工作的風險。做到這一點取決于:
了解通過承擔給定的風險期望獲得什么
如果意識到這種風險會造成多大的傷害
可以花多少錢來保護自己
這一切都歸結為判斷。因此,如果有人說某個特定框架或某項安全技術可以管理“所有網絡風險”,請對其所說的一切保持謹慎。
平衡網絡風險與其他類型的風險
一些安全的措施可以減少一個類型的風險,而在其他地方增加的風險。
例如,假設希望客戶的在線賬戶安全,因此在網站上引入了強密碼要求。可能(也可能不會)降低一些風險,但它可能會帶來客戶離開網站并前往競爭對手(整體用戶體驗更好)的新風險。
雖然這并不是真正的網絡安全風險,但它仍會影響組織業務開展,將這兩種風險視為獨立且不相關的風險是不現實的。因此,當決定采用安全措施時,需要衡量各方的影響。
向其他組織學習安全解決方案
造車子很少需要重新發明輪子,不提倡盲目復制安全解決方案而不考慮它們如何適合自己的環境,但是可以從研究其他組織如何解決與類似的網絡安全問題中學到很多東西。密切關注其他組織如何解決安全問題。
留意網絡安全神話
與大多數職業一樣,網絡安全也有很多神話需要破除。例如,有一種說法是,基于云的基礎設施比使用自己的設備風險更大。大型且信譽良好的云服務提供商通常擁有比大多數組織能夠負擔得起的更強大的安全安排,所以這個說法是欠考慮的。同時,云也不是靈丹妙藥,仍然需要確保用于訪問云服務的設備得到適當合理保護。正確的觀點是:網絡安全在不斷變化,所以要提防懶惰的假設和不加批判的思維。
了解風險管理技術的優缺點
風險管理標準和框架通常表現為孤立存在,可能會導致只需要理解和使用一種方法的假象。應對風險的方式有根本上的不同。當然,許多組織可能出于實際原因(例如資源限制)或確保遵守單項立法,而采用單一技術進行風險管理。在這種情況下,需確保了解所應用技術的優缺點。
