從網絡“攻擊”到“了解你的對手”再到“網絡威脅”——看起來隨著時代的變遷,組織機構所面臨的安全隱患可絲毫沒有減弱。
網絡威脅以多種形式存在,從民族國家所從事到間諜活動到網絡犯罪分子對有價值信息的竊取與利用,再到出于特定動機而窺探數據內容或者由此導致業務中斷可謂無所不包。
除此之外,原應值得信賴的內部人士同樣有可能成為竊取企業或者客戶數據的罪魁禍首,甚至連出于好意的工作人員也有可能在不經意間令寶貴的客戶或者業務數據意外泄露。
毫無疑問,網絡犯罪分子擁有極強的適應能力與創造性,但對我們來說,威脅環境本身是既定存在的——換言之,最重要的是如何對潛在風險加以管理。
在混亂的環境當中,保障安全的一大前提要求業務領導者們不會因此被干擾了立場與判斷。如今的安全環境中充斥著大量技術解決方案,相關供應商承諾為客戶提供覆蓋各類邊界的檢測與預防機制。然而要想真正搞定安全威脅,業務領導者們需要后退一步并認清這樣的現實,即網絡風險在本質上并不屬于IT風險、而應該算是商業風險,因此與各類商業風險一樣其同樣需要加以管理。
同樣重要的是,我們需要意識到雖然網絡威脅不可能被徹底消除,但風險管理確實是一項能夠實現的任務。隨意選擇一套“風險框架”非常簡單,不過與市場上的各類框架類似,如果未能投入時間與精力認真加以考量,那么我們所選定的方案有可能在耗費了大量成本之后卻幾乎無法提供任何有價值的安全回報。
我們已經無數次地通過技術或者軍事術語對網絡安全進行討論,但這樣做的惟一結果就是讓高層管理者感到一頭霧水并放棄了其這類問題的關注。因此重要的是,安全專業人士必須要將當前威脅環境以及網絡安全挑戰做出解釋,并確保自己使用的是易于理解的語言表達方式。
有鑒于此,切實掌握組織機構當前所面對的網絡風險就成了一大必要前提。每一位領導都必須能夠提出以下這類簡單的非技術性問題,并為其找到確切的答案:
1.了解數據價值
你是否了解所在組織機構內數據的實際價值?這類數據價值不僅僅體現在組織內部,同時也應立足于網絡犯罪分子角度,思考他們樂于竊取哪些信息以滿足自己的需要。哪些數據在丟失或者泄露之后給帶來嚴重的后果?大家必須據此制定一套完整的有價值數據清單。
2.了解誰曾訪問過有價值數據
誰對特定信息擁有管理或者訪問權限?大家的“受信內部人員”是否真的需要通過這種權限來完成自己的日常工作?這個問題之所以如此重要,是因為我們必須要對指向有價值數據的訪問活動進行嚴密監控。大家絕不應該把自家鑰匙交給任何外人,而監控有價值數據訪問情況的意義也應遵循同樣的思路。
3.了解自己的有價值數據保存在何處
大家必須了解自己的有價值數據保存在何處以及如何對其進行。這部分信息在以本土、離岸或者云端方式存儲,甚至在由第三方負責打理嗎?除此之外,我們還有必要了解自己的服務供應商是否會將有價值數據同分包商進行共享。
4.了解誰在保護我們的數據
大家需要了解誰在對有價值數據進行保護,這一點真的非常重要。另外,務必弄清這些保護服務商身在何處。
5.了解數據的受保護水平
大家需要了解安全專家們采取了怎樣的舉措來對我們的數據進行24/7全天候保護。另外,這些第三方供應商是否會在保護數據的同時對其內容進行訪問?
只有能夠確切回答上述問題,大家所在的組織機構才有可能真正理解網絡風險水平并對其管理成效做出準確評估。
京公網安備 11010502049343號