网络安全风险_网络安全风险管理不需要全部或全部

网络安全风险

网络安全应引起各种规模的组织的关注，新的威胁和数据泄露每隔几天都会成为新闻。 但是，正如网络安全解决方案供应商和风险管理咨询公司可以证明的那样，仍有太多公司在实施安全保护措施方面仍然落后。 部分原因是由于市场上产品和服务的分散性。 但是，即使有解决网络安全挑战的可用选项，企业也可能不知道从哪里开始。

这么多的选择，那么多的差距

InConsult的网络风险管理专家Tulin Sevgin谈到了为公司客户寻找全面解决方案的困难。 像大多数风险管理咨询公司一样，InConsult并不想成为一家技术公司。 但是，它几乎不能忽略对网络安全的紧迫需求，这是整个风险管理计划的一部分。 竞相寻找能够最好地为其客户服务的供应商。 Sevgin认真对待此搜索。 “我没有从头开始开发自己的产品，而是去了市场，看看市场上有什么，我们的竞争对手在做什么，以及我可以做些什么来给我们带来优势。”

她发现该领域中有很多供应商提供高级解决方案，但是大多数供应商都旨在解决同样的少数问题。 例如，“有很多公司进行渗透测试。 但是没有很多事情要做，例如漏洞管理，云扫描，外部API和网站扫描，然后再扫描内部环境以查看您的弱点在哪里。”

寻找一站式网络安全购物

她的目标不是要找到三四个专门从事这些不同领域的供应商，而是要把所有东西都放在一个地方。 “经过大量研究，我们发现一家公司做得很好，并与他们合作。” 选定的供应商提供了以下所有领域的安全解决方案：

• 第三方厂商
• 面向外部的网站和API
• 网络与应用
• 服务器和云
• 个人身份信息（PII）和敏感业务数据

那是一个阵容。 当然，并不是每个企业都需要为每种可能的安全类型付费。 但是，与了解全部可用范围以帮助确定正确方向的供应商或咨询公司合作可能会有优势。 这一切都始于准确的评估。

从哪里开始

规划涉及确定潜在风险，可能的后果，可用于支撑安全性的预算以及组织的风险承受能力。 例如，负责关键基础设施的公用事业需要高度的网络安全性，而本地企业的需求则要低得多。

根据Tulin的说法，公司无需走远，甚至无需付出任何费用就可以开始。 免费资源随时可用。 “出于最佳实践的目的，NIST框架值得一看。 这些是很好的准则，而不是您需要从头到尾实施的准则。 您可以选择最适合您组织的方式来解决您的弱点。”

美国国家标准技术研究院（NIST）拥护众所周知的五要素网络安全方法：

1. 识别：了解业务环境，与关键功能相关的资源以及潜在方案。
2. 保护：制定并实施保护措施以确保提供关键服务，从而限制潜在事件的影响。
3. 检测：通过诸如持续监控和异常检测之类的活动，确保及时识别网络安全事件的能力。
4. 响应：确定在检测到网络安全事件时会发生什么，包括适当的技术，业务活动和PR响应
5. 恢复：制定计划以恢复和恢复因网络安全事件而受损的任何功能或服务。

NIST建议将此评估过程中未发现的安全要求与市场上可用的解决方案进行映射。 有趣的是，该研究所还认识到在一个地方找到它们的普遍困难。 “经过精心确定的网络安全要求清单，目标应该是在多个供应商中做出最佳购买决策。 通常，这意味着要进行某种程度的权衡，将具有已知差距的多个产品或服务与目标配置文件进行比较。”

转变对网络风险管理的态度

根据Sevgin的经验，存在一些误解，使企业无法采取适当步骤来建立更安全的网络环境。 尚未受到违反的公司可能会感到无敌。 “他们说，'我们为什么需要它？ 我们很好，我们从未受到违反。 他们将网络安全视为复杂和技术性的事物，例如花在网络安全上的钱只是陷入了黑洞。 或者他们只是假设IT涵盖了所有方面。”

但是这种自满的态度已经开始改变，使高级管理层的认识下降到了运营层面。 “当这些合规义务像GDPR一样出现时，它促使他们找出其网络安全的状况。 我认为，未来一两年，我们会看到文化上的转变，这将导致企业将网络安全视为他们日常工作的一部分，而不仅仅是依靠IT来完成。”

评估风险的练习

Tulin为公司应进行的首批网络安全活动提供了关键建议。 这种方法需要通过制定数据泄露响应计划来探索最坏的情况。 “如何处理违规行为非常重要，因为犯错会导致内部和外部声誉受损。 然后，您就拥有了法律部分。”

该过程需要什么？ “这很容易做到，不需要很多钱。 一旦开始编写该计划（您可以从咨询公司或政府网站获得模板），您就会看到它如何适合您现有的业务连续性和危机管理计划。 确实，这迫使您考虑是否存在数据泄露时需要立即做出的决定。 下一步是进行桌面练习，以测试该计划。”

数据泄露响应计划确定事件的处理方式，潜在的声誉损失和法规遵从性。 一旦企业开始编写计划，他们就会看到该计划如何与整个业务连续性相适应。 他们还可能意识到自己当前的危险状态，并意识到他们可能无法处理所有数据。 “他们开始提出问题。 '我们有什么数据？ 其中有多少是关键或敏感的？” 现在是时候做一个数据映射项目来解决这个问题并将其锁定。”

缺乏认识和理解仍然是有效管理网络安全风险的最大障碍。 对于希望安全使用的企业，Sevgin接受了此建议。 “保持思想开放，不要害怕教育自己并提出问题，以便您能够理解。” 当什么都不做的风险很高时，这是一个很小的代价。

翻译自: https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/Cybersecurity-risk-management-doesnt-need-to-be-all-or-nothing

网络安全风险