网络安全风险评估的四点建议
很难知道多少网络安全支出足以将风险降低到可接受的水平。什么是足够的,还有什么是需要的?网络安全风险评估(CRA)可以提供帮助。重点介绍了四个技巧。
学习目标
- 网络安全风险评估(CRA)可以帮助公司确定他们需要集中精力的地方,并提高公司安全。
- 明智地使用资源和获得专家的帮助可以帮助减少CRA过程中的不确定性。
网络安全风险评估(CRA)是一个组织识别、分析和评估在发生网络攻击或数据泄露时可能面临的风险的过程。制造商和加工设施在收入和声誉方面面临网络安全损害的风险;网络安全风险评估应成为任何组织风险管理流程的一部分。
网络安全及相关问题继续困扰着企业的业务连续性目标。它可以被认为是组织安全要求的反映。就像安全一样,很难知道多少网络安全支出足以将风险降低到可接受的水平。多少次升级,多少次架构变化,多少次培训才够?
为了消除这种担忧,网络安全风险评估可能会有很大帮助。虽然CRA有许多框架,但这些步骤可以帮助那些刚开始的人。
1.不要惊慌。
虽然企业可能没有意识到,但他们很有可能在不知情的情况下受到潜在网络攻击的影响。
然而,在这种情况下,最不应该做的就是惊慌失措。适当的应急响应系统将有助于人们作出正确的决定,包括确定重点工作的优先次序,从而利用所需的资源。
2.明智地使用资源:
在确定优先级的领域之后,下一步是优化使用资源。为此,需要根据业务的性质和独特的需求制定目标。理想的网络安全风险评估框架需要将潜在风险划分为以下级别:
基本的层面上-这应该包括最基本和最容易预防的安全风险的考虑
中级水平-这涉及对大多数常见攻击实施风险防范
先进水平-它包括对组织威胁模型中指出的所有威胁的保护
持续风险管理-这可以持续监控威胁情况,并在发现新风险时进行预防
除上述外,其他补充步骤包括:
- 摆脱所有容易实现的成果——这确保了最佳的投资回报(ROI),因为它更简单,不需要太多的资源。低挂的成果包括安全补丁和更新、恶意软件保护以及公共可访问资源和内部服务的身份验证方法等。
- 应该对风险进行分析和规范化,以反映组织和整个行业的“真实”风险。“Real”可以是您可能发现的任何漏洞(CVE)的默认值,通常不是更高就是更低。
- 投资检测:企业必须了解所部署的安全措施的有效性和最终结果。以前看似无关紧要的事件和袭击现在可能需要重新评估。
- 建立针对网络攻击和数据泄露的响应和恢复程序:准备一份全面而紧凑的行动清单,以便员工能够记住并在紧急需要时采取行动。一份500页的政策遵从性文件在紧急情况下没有帮助。
- 对员工进行IT/网络安全意识培训:黑客在网络钓鱼和社会工程攻击上获得了最佳的投资回报率。为了防止人为错误的可能性,公司需要对员工进行网络攻击方面的培训和教育。
3.每次都做对:连续循环
通常情况下,网络安全风险评估报告的生命周期非常短,甚至在编写时可能已经过时。尽管如此,该报告仍然有效,而且可能是确保采用最佳方法保护组织免受网络攻击的唯一方法。
为了使这个过程有效和有价值,它需要在尽可能自治的部分中完成。一个常见的错误是,组织只有覆盖整个业务的年度全面端到端网络安全风险评估。
最好的方法是形成一个连续的网络安全风险评估循环,包括对公开或外部暴露资源和内部资源的漏洞评估和安全渗透测试。如前所述,其目的是确定可能受到网络攻击影响的各种信息资产,分配适当的风险级别,并应用安全措施和控制,以最大限度地减少和控制成功的网络攻击的结果。
4.必要时寻求网络安全帮助
虽然用户可以自己做,但最好是与拥有网络安全风险评估专业知识的公司合作。如果网络安全顾问拥有适当细分市场的知识和工作经验也是很好的,因为它提供了以下优势:
- 帮助您选择正确的网络安全框架
- 提供监管标准方面的指导
- 告知预期基准分数
- 如果合作公司协助实施网络安全风险评估产生的流程和控制,则可以获得额外奖励。
进行网络安全风险评估或改变解决问题的方法永远不会太迟或太早。
残酷的事实是,公司最终将在网络安全上花费大量资金——或者如果咨询专家,与公司可能面临的潜在风险相比,这笔钱太少了。网络安全风险评估有助于公司在投资方面做出明智的决定。你需要做出明智的决定,平衡风险与防范网络威胁的支出。决定花多少钱与其说是科学,不如说是一门艺术。
Erez Ravina高级安全架构师在哪里L&T技术服务,以色列。Atanu他是L&T技术服务公司网络安全实践负责人。L&T Technology Services是CFE Media的内容合作伙伴。由Chris Vavra编辑,CFE媒体与技术控制工程副主编,cvavra@cfemedia.com.
更多的答案
关键词:网络安全,网络安全风险评估,CRA
网络安全风险评估(CRA)帮助公司确定他们需要集中精力的地方,并改善公司安全。
利用资源明智的选择和专家的帮助有助于减少CRA过程中的不确定性。
考虑一下这个
什么是执行网络安全风险评估后遇到的最大挑战或障碍?
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。