在過去的兩年中,網絡安全的世界發生了重大變化,而圍繞網絡安全風險評估的規則也有所變化。數字業務滲透率的增加,更廣泛的風險,以及網絡威脅更大後果使得風險管理變得比以往任何時候都更加複雜和重要。
遺憾的是,很多企業還沒有弄清楚風險管理是當今商業運作的重要組成部分。根據Silicon Republic公司通過普華永道公司開展的這項研究,40%的愛爾蘭公司沒有做任何風險評估。
調研機構Gartner公司在去年夏季的IT風險管理報告中試圖闡述這個領域日益複雜的問題,並將市場分為七個不同的部分,其中包括審計、供應商風險管理和運營風險。它提供了10個供應商的魔力象限,其中包括ServiceNow,戴爾/RSA Archer等。他們認識到,市場正在迅速發展,因為購買者正在尋找更廣泛的解決方案,可以在廣泛的條件和工作流程中進行部署。
事情發展得如此之快,甚至一年前的調查報告已經過時了。以下來看看這些變化,然後討論企業可以採取哪些措施來改進流程,更改組織結構,並且更好地理解,以應對未來網絡風險。
變化#1:安全現在是每個人都關心的問題
信息安全現在是很多企業關心的問題,不再是IT部門的專屬領域。“在18個月前,大多數公司都將網絡風險嚴格視為其IT部門的職責範圍,”畢馬威公司安全服務業務負責人Charles Jacco說。
風險管理供應商ServiceNow公司安全業務部門副總裁兼總經理Sean Convery說:“這確實是當今業務的最終跨越職能挑戰。這意味著IT部門的風險管理已經變得比以往更加複雜。”
隨著企業將更多的業務和產品轉移到網上,其後果已成為企業範圍內的問題。“服務現在由企業的不同部門管理,這意味著數據孤島正在結束,風險變得越來越複雜。”Convery說。除此之外,惡意軟件威脅也正在變得越來越複雜,更具針對性並且更難以發現,而數據洩露可能會影響業務中的每個人,破壞客戶和合作夥伴關係,並損害企業的股東價值。
變化#2:企業越來越受到更嚴格的控制
這會提高風險預測以及發生數據洩漏時的最終價格。企業可能面臨鉅額罰款,更不用說公眾的指責和企業的聲譽損失。但這並不意味著企業應該僅僅為了合規的原因來管理風險,這是幾年前的典型行為。它需要成為任何企業整體運營DNA的一部分。
變化#3:網絡風險評估現在需要獨特的技能
雖然全球各地的所有商學院都在教授商業風險管理知識,但企業的工作人員理解網絡風險需要將技能和經驗結合起來。風險分析供應商Risk Based Security公司副總裁Inga Goddijn說:“這跨越了多條線路。IT安全管理人員不應該為可接受風險水平的戰略決策承擔全部責任。組織需要投入大量的時間和思想去做足夠安全的事情,並理解所涉及的過程。”
經常就這個主題發表博客的David Froud表示,“安全離境並沒有商業利益。”目前的挑戰是尋找那些已經具備這種背景的人員。他還抱怨說,風險評估通常是在項目結束時完成的,而不是在項目開始時進行。“它過於專業化,從未被視為真正的商業增值。”
流程改進以更好地評估風險
IT安全管理人員現在必須更好地瞭解整體業務和安全環境方面的風險。為此,他們需要與其他利益相關者合作,妥善安排這些風險的優先次序,並重新界定他們在量化和監控風險方面發揮的作用。這將採取以下步驟的形式:
第1步:獲得管理層的認可
包括董事會在內的企業高層需要對此認可。Froud提出了一個多步驟程序,將企業的業務資產映射到流程,以此作為建立所有利益相關方都能達成共識的“風險登記簿”的一種方式。“我們需要將風險管理與首席安全信息官的日常運營工作分開。企業需要更多的檢查和平衡。”畢馬威公司安全服務業務負責人Charles Jacco說。他建議設立一個名為“首席風險官”的新職位,直接向首席執行官或首席信息官報告,並始終是企業董事會成員。這個成員的任務應該是確定企業的關鍵風險指標,並設定企業可以接受的門檻。
“我們需要將網絡風險管理納入其他所有業務風險之中,然後首席安全信息官需要弄清楚如何提供這種服務和安全級別。”風險管理服務提供商Secuvant安全服務公司首席執行官Ryan Layton表示,“許多企業正從技術角度解決網絡安全問題。我們認為這需要在風險管理和行政領導下進行。”
亞利桑那州首席信息安全官的Mike Lettman表示,當他購買新的風險管理工具時,他需要儘早從所有的州政府機構負責人那裡獲得支持。“每個人都很難改變,但是必須學會如何講述這個重要事件,以及如何講述這個事情的整個故事,並且能夠建立信任,以幫助組織機構保護他們自己的資產,並展示其所嘗試的價值。”在安裝風險管理系統之後,在IT網絡中就發現了2萬多個易受攻擊的系統。他說,“我們面臨各種配置問題。”
第2步:進行更多的定期漏洞評估
Layton表示:“瞭解商業環境是管理風險的最佳因素,包括基於網絡的風險。這意味著要知道什麼會推動企業的業務以及對其業務影響最大的風險。”
“漏洞評估只是一個毫無意義的流行語。”亞利桑那州的Lettman說,“沒有人一貫使用它,人們需要了解活動中實際包含的內容。在理想情況下,其評估應更詳細,並告訴其哪些設備進行了修補和正確應用,而且設備的配置是否已得到糾正。風險管理更多的是有意識的、一致的和複雜的活動,它需要奉獻和紀律。”
第3步:進行連續的、非離散的風險評估
對於許多企業而言,用於管理風險的主要軟件工具是Microsoft Excel中的一個項目列表,該列表可以人工更新並不規則地分發。“對於大多數企業來說,我們遠沒有達到這個水平。”Jacco說,“我們的大多數客戶正在開始沿著這條路線前進。問題在於企業不再是每季度都有獨立產品發佈的靜態實體。如今,他們更頻繁地與客戶進行交互,並通過網絡和移動設備等不同設備進行交互。人們還可以看到每日甚至每小時的軟件更新。兩個小時之前推出的應用程序與先前製作的代碼不同,這意味著企業需要必須不斷評估風險。”
閱讀更多 企業網D1Net 的文章
