IT安全風險管理最佳實踐包括:
使用行業標準作為指導。
全面了解組織的IT環境。
了解安全風險。
了解哪些安全風險最相關。
制定響應安全事件的計劃。
對整個組織的員工進行安全實踐培訓。
降低IT安全風險?
風險管理過程將因IT環境而異。公有云、組織的專用網絡、數據中心或這些的組合將具有不同的要求和風險因素。
公有云中的安全風險管理涉及組織使用軟件保護自己的數據,而云提供商則保護底層基礎架構。云中的風險因素包括不安全的云客戶、云提供商未能保護基礎架構,以及意外或故意傳播敏感數據的內部員工。
專用網絡需要端點安全性、防火墻、傳輸中數據的加密和流量分段,以降低安全風險。專用網絡的風險因素包括黑客訪問最終用戶設備以在網絡中站穩腳跟。在這種情況下,黑客的流量將顯示為正常網絡流量,而不是異常流量。
為了管理數據中心的風險,組織可以擁有彈性的外圍防御以及檢查南北和東西向流量的安全程序。數據中心風險因素包括拒絕服務攻擊,這些攻擊以南北向流量轟炸數據中心,使基礎設施不堪重負,使數據不可用。
通常,組織應始終遵循安全基礎知識。這意味著始終加密數據,控制對數據和網絡的訪問,全面了解IT環境中的活動,并利用自動化來跟上資源擴展和活動速度。
創建風險評估流程和安全框架
風險評估過程包括識別組織的資產、潛在風險、違規的影響以及每個潛在風險發生的可能性。
資產可以包括數據、硬件設備、應用程序、一般軟件和員工。一旦確定了資產,組織就可以更好地了解其IT環境。
量化違規行為的影響必須在財務影響以及公司和品牌聲譽損失方面進行。一旦知道這一點,組織就可以更好地了解如果發生違規行為,將面臨什么風險。
組織可以采取的緩解這些風險的一般步驟包括:
查找并遵循安全框架。
制定并完成風險評估流程。
確定要防范哪些安全風險的優先級。
制定事件響應計劃l持續監控環境。
在發生違規行為時執行事件響應計劃。
根據SOC2安全標準,組織用于保護其資產的安全框架可能取決于適用的行業標準和法規。例如,零售商可能主要遵循支付卡行業數據安全標準(PCIDSS)框架。
一旦組織符合PCIDSS等框架,它就知道它至少具有足夠的基線安全級別,用于存儲和傳輸的數據類型。
框架的一些典型特征包括一組必須滿足的原則,例如數據完整性;對高級安全設備的要求;或組織可以針對不同方案滿足的不同安全級別。重要的是要記住,IT安全沒有一個適合所有解決方案,這是美國國家標準與技術研究院(NIST)改善關鍵基礎設施網絡安全框架中強調的。
對于上面的其他要點,組織可以根據其選擇遵循的安全框架的指導來制定后續步驟。首先,組織應該意識到它沒有無限的資源來保護自己在任何時候免受所有威脅。因此,需要根據安全風險對組織可能造成的潛在損害的可能性和潛在損害量來確定安全風險的優先級。
一個組織可以決定它應該投資哪些安全工具和計劃,一旦它確定了哪些風險的優先級,就值得關注。然后,組織決定采用的工具和計劃可用于監視環境、向安全管理員發出攻擊警報以及響應攻擊。
技術基金會
基礎技術層使組織能夠監控安全威脅、攻擊和成功違規并收到警報。確保強大的安全工具集合是IT風險管理的關鍵部分此基礎層中包含的安全工具包括:
網絡訪問控制。
訪問控制表和身份訪問管理。
監控軟件。
防火墻。
防病毒和反惡意軟件程序。
多重身份驗證。
加密。
根信任。
有了所有這些硬件和軟件工具來保護IT環境,建議組織投資一個儀表板,以可消化的形式在一個地方顯示來自這些不同系統的所有信息。這很重要,因為可能存在很多噪音或通知,安全管理員必須對其進行解析并確定優先級。
人的作用
安全計劃和其他技術解決方案只是更大的安全風險管理方法的基礎,人在IT安全風險管理中重要性很高。
人推動安全技術,技術并不能單獨解決問題,需要執行需要管理。從本質上講,人們需要將技術置于可以有效完成工作的位置。但是,人們(即使是那些沒有惡意的人)本身也是安全風險,也是首先需要安全工具的原因。
例如,人們通常密碼意識很差。在網絡安全提供商HYPR的研究中,72%的人報告將工作密碼和個人密碼混用。
這就是為什么組織的所有成員在IT安全風險管理中都扮演著重要的角色。他們都需要安全實踐方面的培訓,工作文化必須以安全為中心。這將降低成功進行網絡釣魚和社交工程攻擊的風險。
需要防范的主要風險
組織最寶貴的數字資源是其數據。數據的盜竊或其他丟失是大多數組織最關心的問題。根據Verizon的數據泄露調查報告,數據泄露通常涉及黑客攻擊,社交攻擊或惡意軟件。
還有一些趨勢會增加安全風險,例如向云的轉變,安全專業人員的短缺,IT環境的復雜性日益增加,以及使用將任務(如存儲信用卡信息)外包給第四方的第三方。
向云的轉變意味著組織對數據安全性的控制較少,并且必須信任云提供商通過虛擬安全措施來保護底層基礎架構。IT環境日益復雜,這意味著組織更難跟蹤敏感數據的位置、訪問者以及如何應對來自環境中活動的大量噪音。
最后,一個組織可能正在盡一切努力保護其數據,但是如果它使用第三方提供服務,并且該第三方將其責任外包給沒有盡最大努力保護數據的第四方,那么這會給整個系統帶來一個重大的弱點。
為了準備黑客或其他形式的攻擊對這些可能不安全的系統的攻擊,組織應該找到最關鍵和最敏感的信息所在的位置,制定一個策略來首先保護這些信息,并使用安全基礎知識來保護它。
IT安全風險管理關鍵要點總結:
組織需要找到一個適用于其行業的安全框架,并將其用作保護IT環境的指南。
安全技術(如防火墻)是監視環境和響應安全事件的基準。
與技術相比,人們在IT安全風險管理中扮演著更重要的角色。
組織應依靠安全基礎知識和安全框架的指導來為重大安全風險做好準備。
