網路風險管理的三個關鍵詞:協作、資料、評估
企業風險管理(ERM)的目標即企業可用最經濟合理的方法來綜合處理風險。過程可簡述為對企業可能面臨的各種風險進行評估,對其進行分類、量化,瞭解對風險的容忍度,並適時採取及時有效的方法進行防範和控制。
在過去,當企業著眼於風險管理時,財務風險、監管風險和運營風險為關注的重點,比如匯率、利率的變化,是否可以拿到生產許可,或者物流、倉庫存在的隱患…當下,隨著企業數字化程度的加深,網路風險日益受到企業管理層的關注,進入了風險管理目標的第一梯隊,這給安全管理人員帶來了新挑戰:量化網路安全事件的商業影響是一項非常困難的任務,而量化此類事件發生的可能性則更為困難。
技術與業務的協作
在ERM框架中,“風險”這個詞對不同的角色有著不同的含義。網路安全方面的負責人,往往關注於技術問題,例如,如果漏洞沒有被修補,攻擊者可利用它造成什麼樣的破壞。對於同樣的問題,從業務的角度看到的可能是,存在漏洞可能會導致資料庫被入侵,資料被竊取,將導致特定數量的業務損失,並會產生罰款和修復費用。對於企業的決策層來說,需要去確定一個降低風險的措施是否有意義,若是不能顯著的降低風險,或者是風險涉及的系統並不關鍵,那麼,最好把時間和金錢花在其他地方。
Gartner的分析師Brian Reed說過:技術人員和業務人員之間缺乏溝通,這是企業一直遇到的問題。業務人員不理解技術問題,技術人員不知道如何證明業務價值。
聯邦快遞習慣於為聖誕節前後發生的中斷風險做計劃,因為這是航運公司的旺季。然而,在2017年,一場勒索軟體的襲擊在6月份發生,造成了大約 3億美元 的損失。可見,安全專家與業務部門的深入合作變得尤為重要,大家若多一些時間進行溝通,可以使對風險得管理變得更加有效。
投入更多的精力在企業資料的保護
近兩年,網路風險最熱的話題,非資料洩露莫屬。資料洩露似乎每天都在發生,Facebook、Under Armour、AcFun、華住…使用者資料是企業的寶貴財富,企業處理這些資料時面臨著極大風險。想象一下,一覺醒來發現自己企業因資料洩露而佔據各大新聞頭條,是多麼恐怖。
現今,相關法律、規範也越來越完善,例如2018年5月1日實施的《資訊保安技術個人資訊保安規範》、2018年5月25日,歐盟《通用資料保護條例》GDPR正式生效。若企業沒有恰當地保護資料,會面臨監管機構的嚴厲處罰。
至於具體的措施,除基於企業自身情況,做好資料治理、使用如訪問控制、資料防洩漏、業務資料風險管理等相關的資料安全技術外,也不應忽視對內部員工的意識教育。
採用更多的評估方法
由於風險無時無刻都在變化,企業需要能夠科學的量化網路風險發生的可能性,這一點也是網路保險行業遇到的最大難題,雖然現在網路保險很熱,但是縱觀全球,大型保險公司也沒有廣泛的推廣網路保險政策。市場需求的增長也在推動保險行業從業者前行,近兩年,網路保險的從業者也在不斷優化風險評估的過程,比如引入“安全評級服務”,從外部的角度去衡量企業的風險,再結合傳統的評估手段,如問卷、現場評估,可以使評估結果更加可靠。
企業也可參照這種方式,通過評級或審計的方式來進行風險評估。目前,安全評估服務還是一個新興行業,全球專業從事安全評級服務的企業約10家,最早成立的PREVALENT註冊時間為2004年。其中,除了UpGuard及安全值外,全部企業均在美國註冊。(UpGuard原為一家澳洲初創企業,後把總部搬到了舊金山;安全值為中國團隊,總部在北京)。