网络安全风险评估的四点建议

网络安全风险评估(CRA)是一个组织识别、分析和评估在发生网络攻击或数据泄露时可能面临的风险的过程。制造商和加工设施在收入和声誉方面面临网络安全损害的风险;网络安全风险评估应成为任何组织风险管理流程的一部分。

网络安全及相关问题继续困扰着企业的业务连续性目标。它可以被认为是组织安全要求的反映。就像安全一样，很难知道多少网络安全支出足以将风险降低到可接受的水平。多少次升级，多少次架构变化，多少次培训才够?

为了消除这种担忧，网络安全风险评估可能会有很大帮助。虽然CRA有许多框架，但这些步骤可以帮助那些刚开始的人。

1.不要惊慌。

虽然企业可能没有意识到，但他们很有可能在不知情的情况下受到潜在网络攻击的影响。

然而，在这种情况下，最不应该做的就是惊慌失措。适当的应急响应系统将有助于人们作出正确的决定，包括确定重点工作的优先次序，从而利用所需的资源。

2.明智地使用资源:

在确定优先级的领域之后，下一步是优化使用资源。为此，需要根据业务的性质和独特的需求制定目标。理想的网络安全风险评估框架需要将潜在风险划分为以下级别:

基本的层面上-这应该包括最基本和最容易预防的安全风险的考虑

中级水平-这涉及对大多数常见攻击实施风险防范

先进水平-它包括对组织威胁模型中指出的所有威胁的保护

持续风险管理-这可以持续监控威胁情况，并在发现新风险时进行预防

除上述外，其他补充步骤包括:

• 摆脱所有容易实现的成果——这确保了最佳的投资回报(ROI)，因为它更简单，不需要太多的资源。低挂的成果包括安全补丁和更新、恶意软件保护以及公共可访问资源和内部服务的身份验证方法等。
• 应该对风险进行分析和规范化，以反映组织和整个行业的“真实”风险。“Real”可以是您可能发现的任何漏洞(CVE)的默认值，通常不是更高就是更低。
• 投资检测:企业必须了解所部署的安全措施的有效性和最终结果。以前看似无关紧要的事件和袭击现在可能需要重新评估。
• 建立针对网络攻击和数据泄露的响应和恢复程序:准备一份全面而紧凑的行动清单，以便员工能够记住并在紧急需要时采取行动。一份500页的政策遵从性文件在紧急情况下没有帮助。
• 对员工进行IT/网络安全意识培训:黑客在网络钓鱼和社会工程攻击上获得了最佳的投资回报率。为了防止人为错误的可能性，公司需要对员工进行网络攻击方面的培训和教育。

3.每次都做对:连续循环

通常情况下，网络安全风险评估报告的生命周期非常短，甚至在编写时可能已经过时。尽管如此，该报告仍然有效，而且可能是确保采用最佳方法保护组织免受网络攻击的唯一方法。

为了使这个过程有效和有价值，它需要在尽可能自治的部分中完成。一个常见的错误是，组织只有覆盖整个业务的年度全面端到端网络安全风险评估。

最好的方法是形成一个连续的网络安全风险评估循环，包括对公开或外部暴露资源和内部资源的漏洞评估和安全渗透测试。如前所述，其目的是确定可能受到网络攻击影响的各种信息资产，分配适当的风险级别，并应用安全措施和控制，以最大限度地减少和控制成功的网络攻击的结果。

4.必要时寻求网络安全帮助

虽然用户可以自己做，但最好是与拥有网络安全风险评估专业知识的公司合作。如果网络安全顾问拥有适当细分市场的知识和工作经验也是很好的，因为它提供了以下优势:

• 帮助您选择正确的网络安全框架
• 提供监管标准方面的指导
• 告知预期基准分数
• 如果合作公司协助实施网络安全风险评估产生的流程和控制，则可以获得额外奖励。

进行网络安全风险评估或改变解决问题的方法永远不会太迟或太早。

残酷的事实是，公司最终将在网络安全上花费大量资金——或者如果咨询专家，与公司可能面临的潜在风险相比，这笔钱太少了。网络安全风险评估有助于公司在投资方面做出明智的决定。你需要做出明智的决定，平衡风险与防范网络威胁的支出。决定花多少钱与其说是科学，不如说是一门艺术。

Erez Ravina高级安全架构师在哪里L&T技术服务,以色列。Atanu他是L&T技术服务公司网络安全实践负责人。L&T Technology Services是CFE Media的内容合作伙伴。由Chris Vavra编辑，CFE媒体与技术控制工程副主编，cvavra@cfemedia.com．

更多的答案

关键词:网络安全，网络安全风险评估，CRA

网络安全风险评估(CRA)帮助公司确定他们需要集中精力的地方，并改善公司安全。

利用资源明智的选择和专家的帮助有助于减少CRA过程中的不确定性。

考虑一下这个

什么是执行网络安全风险评估后遇到的最大挑战或障碍?

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。