风险管理

有效管理业务安全风险

admin

互联网上的通信并不安全。电子邮件不是机密的,他们在到达目的地之前要经过许多计算机系统。信息安全的风险不容忽视,只需要一个小漏洞就可以制造一个大问题。网上购物并不安全,我们的信用卡号在世界各地传输并存储在与互联网直接连接的计算机上,因此可能成为犯罪黑客的有吸引力的目标。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:无论是因为人为错误没有及时发现,或者是因为旧服务器的升级预算和计划被削减,结果都是一样的。同样,网上银行也不安全,如果有人猜测或获得了帐户密码,则帐户详细信息将变得可见,并且可能进行恶意交易。因此,无论是偶然的、蓄意的还是恶意的,信息安全事件的成本很容易与预防成本完全不成比例。

没有什么是100%安全的。我们的电话通讯可能被窃听,我们的房屋可能遭遇盗窃,我们的信用卡可能被伪造等等。但是我们还是乐意通过电话谈论我们最私密的事情,我们的房子通常也不会打造成固若金汤的城池,我们在购物或消费时仍然会使用信用卡。原因是我们对所涉及的风险有“感知”。对于安全性是否会失败,我们有一些经验和信心。正因为如此,我们对其可能影响感到相当放松。否则,看几次315晚会,如果盲目相信媒体关于网络安全的恫吓,人们就会抛弃智能手机,而用回功能机,或者回到石器时代了。事实上,并非如此,创新科技仍然飞速改变着人们的工作和生活方式。

在没有安全性的情况下推出新技术会对业务产生巨大影响,因此,《网络安全法》明确规定:无论是哪个行业和领域的关键信息基础设施,都应当确保其具有支持业务稳定、持续运行的性能,并坚持安全技术措施“三同步”的原则,即应该保证安全技术措施实现“同步规划、同步建设、同步使用”。如果安全性没能及早输入,滞后的安全投资实际上可能变得毫无用处,并使企业面临安全威胁。外包的短期业务决策,如果没有经过IT安全专业人员深思熟虑的战略投入,则可能会变得更加昂贵,甚至创建一个难以保护的复杂环境。失去对特定业务的特定系统和安全决策的深入了解也存在风险。

要了解风险,需要了解一些基本的计算机和互联网技术。实施安全措施以应对威胁需要花费少量时间。即使采取最佳安全实践建议的控管措施也不会生产出100%的安全,但是可以避免一些最大的威胁,可以更好地抵抗敌对攻击。因为这些都与企业的内部运作有关,所以企业对管理这些内部威胁的方式有更大的控制权。以下是企业可以采取的一些措施:

  • 采用业务范围的信息安全治理,并将其与组织内的其他风险和治理工作相结合。
  • 改进整个业务的安全集成,并将安全报告提升到与其他治理、风险和合规领域相同的水平。
  • 了解组织的风险偏好并确保持续安全投资的价值满足业务需求并物有所值。
  • 让业务领导者参与其中,以便他们了解零安全预算(不花钱)对全盘计划的影响。
  • 负责协调与外包商、离岸商以及供应链和云提供商的业务安全性。
  • 让所有人员都拥有数字安全“常识”,可以提高企业的安全级别。
  • 监控新的业务计划并尽早让信息安全参与其中,当然是作为推动者而不是阻挡者。
  • 加强新技术的风险评估,在安全性和可用性之间寻求平衡,并将其管理到业务可接受的水平。
  • 审核供应商和外包商的信息安全,确保他们适应不断变化的威胁环境,将风险控制在适当水平。

企业对上述每个威胁类别都有不同程度的控制。通常来讲,外部威胁是最不可控的,这是因为我们不能轻易影响犯罪活动的数量。不过,虽然它们构成了很大的风险,但是应对它们的唯一作法是缓解和恢复。理论上,企业可以完全控制内部威胁,没有理由忽视它们。当然,企业必须保护信息免受外部攻击、内部攻击以及用户的无辜错误。这就需要使用必要的保护对策,我们对风险的可接受水准是一个重要的判断,对威胁和漏洞的理解有助于我们做出风险应对的决定,包括消除风险、降低风险、转移风险,最差的情况是不得不接受风险。

企业在日益网络化的世界中运营,传统的风险管理不够灵活,无法应对网络空间活动带来的风险。因此,必须扩展企业风险管理方法,甚至进行理论和实践创新,以创建风险弹性,建立在充分准备的基础上,从业务可接受性和风险分析的位置评估威胁向量。从网络到内部人员,组织对不断演变的安全威胁有不同程度的控制。随着威胁形势的速度和复杂性的天天变化,我们需要立即进行风险评估工作,以确保做好充分准备并致力于应对这些不断出现的新型威胁和时代挑战,以避免被抛在时代后面,进而造成企业声誉和财务损失。

最后,董志军提醒说:切记不要落入西方风险管理学的圈套,那些风险算法貌似科学精准,实际上离现实情况还差十万八千里。简单举例说,别为了几个实体资产如设施设备甚至房产的所面临的威胁、遭灾的影响、发生的可能性而纠结不清,尽管房产很贵哈,眼光放开一些,站得高一些,想的远一些,想想如果遭遇疫情突发或大型活动情况下的封城,局部冲突甚至全面战争,给整体大盘带来的业务影响吧!

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

再谈安全意识教育

admin

公司是否应该花钱对员工们进行安全意识培训呢?在信息安全业界,尽管多数安全管理方面的专家都赞成进行安全意识培训的必要性,但是仍然不时有极个别的反对声音,认为对最终用户进行安全培训是在浪费时间,而且那些培训费用完全可以用在其它的地方。

我们今天就来讨论一下这个在海内外仍然存在少量争议的课题。

首先,我们谈一件安全投资是否有必要,得有一个预期的收益,也需拿出可以进行衡量的可行性标准,并据此测量安全投入是否达到了最初的设想目标,即所谓的安全投资回报ROI。不过,在广泛的计算机网络信息安全领域,尚无可以借鉴的广为接受的投资回报算法,因为想量化安全事故可能带来的潜在损失和安全投入所能挽回的潜在损失是一件不可能的事情。即使在风险管理领域,有些计算公式,类似风险=漏洞*威胁*影响*概率之类的公式,不过这些也只是停在安全理论层面,根本不能被最佳信息安全实践操作所理会和采纳,所以成熟的安全风险评估和管理通常采用定性的分析方法。正因为如此,否定对员工们进行安全意识培训的必要性,明显是站不住脚的,就如同某些安全专家建议用户不要安装杀毒软件一样荒谬。

其次,对安全意识培训持反对意见者可能会质疑安全意识培训的成效,的确安全意识培训不像安装配置企业防火墙一样,设置了一条规则之后便可立即看出效果。安全意识培训的对象是人员,而人员则是信息安全要素中最复杂的最脆弱的一环。企图通过安全意识培训让员工们都成为信息安全方面的模范遵循者,简直就如同在地上画个圈,让人站在里面不要出来到处乱走一样。但据此来说信息安全意识培训无用也太不负责任,信息安全意识培训本身只是一种安全理念和技能的沟通方式,即使主动发布信息的一方,通常是安全意识培训讲师发出了正确的安全讯息,安全意识的接收者也可能不接收、不理解或不认可。这并不是安全意识培训本身的失败,而是尚需更多安全管理措施来配合。就如同购买了价格昂贵的防火墙,规则配置上却缺乏适当的安全策略标准指引,或者防火墙管理员偷懒,随意配置允许任意源随意访问任意目标一样。有些现成的方法可以帮助衡量安全意识培训的成效,比如在培训前后通过信息安全基础测试来了解员工们对安全理念的掌握情况,通常经过培训之后员工们对信息安全的认知都会有所提升。

再者,安全意识培训的反对者会认为安全意识很难影响安全行为,的确,人们对某些事物的认知和行为可能并不一致。昆明亭长朗然科技有限公司的安全咨询顾问James Dong举例说:几乎所有的城镇人口都会从小就被教育遵守交通规则,但是仍然随处可见闯红灯和穿越马路的情景,我们能否认说交通安全意识教育不能改变交通安全行为么?当然不能,违反交通安全规则的自有他们的“道理”,比如认为交通灯不够灵活、穿越马路较近更节省时间等等。我们可以肯定的是,这些人在违反交通安全规则的时候,多数知道自己的行为是在违反,假想我们不教育人们遵守安全交规,那世界会混乱成什么样子?要让安全意识和安全行为有效关联起来,需要的是激励措施,奖励积极向上的安全行为,处罚恶劣的不安全行为,自然而然便能建立起“知行合一”的安全合规文化,但看新交规实施以来的威慑作用便知一二。

最后,安全意识培训的反对者会认为这些资金和人力的投入可以通过其它安全控管来获取更好的效果,说这些的往往是些急于推销安全技术产品的厂商,我们不排除很多安全问题可以通过形形色色的技术控管方式来解决,比如防止用户有意或无意犯错。我们不得不说的是这些安全控制技术都需要人员来操控和使用,它们要发挥效用的最大假设前提是人们的理解和支持,不通过安全意识培训,如何获得理解和支持呢?此外,老人们常说“淹死的人通常都是会游泳的”,不屑于安全意识提升的技术专家们,冒险精神可嘉,但较安全技能并不是很高超的普通用户更可能成为安全事故的发动者或受害者。

secure-your-employee