隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在數(shù)量和復(fù)雜度上的提升，公司企業(yè)需要從響應(yīng)事件轉(zhuǎn)變到發(fā)現(xiàn)事件以事先預(yù)防上來。

發(fā)展出健壯的基于風(fēng)險(xiǎn)的安全方法，需要專注于支持企業(yè)為了能預(yù)防、檢測并相應(yīng)攻擊而進(jìn)行信息安全威脅優(yōu)先級劃分、理解用于攻擊的技術(shù)、評估控制的能力。不了解這一點(diǎn)，企業(yè)便難以確定對特定威脅的暴露程度，不清楚自身網(wǎng)絡(luò)事件響應(yīng)計(jì)劃是否是結(jié)構(gòu)化并足以在事發(fā)時解決威脅的。

保護(hù)你最敏感的信息

高官們十分熟悉網(wǎng)絡(luò)空間的巨大好處，以及互聯(lián)網(wǎng)和今天不斷增長的聯(lián)網(wǎng)設(shè)備是如何極大增長創(chuàng)新、合作、效率、競爭力和客戶承諾的。然而，不幸的是，這些高管中很多人都在風(fēng)險(xiǎn)與回報(bào)的評估上掙扎非常。

當(dāng)今時代，公司企業(yè)必須做的一件事是，確保具有標(biāo)準(zhǔn)安全措施。信息安全論壇(ISF)《良好實(shí)踐標(biāo)準(zhǔn)》便是這方面指南的一個例子。

該《標(biāo)準(zhǔn)》被許多跨國公司用作信息安全的主要參考。它解決威脅和風(fēng)險(xiǎn)的快速進(jìn)化，以及公司響應(yīng)諸如網(wǎng)絡(luò)犯罪、黑客主義、BYOD、云、內(nèi)部人和間諜等活動帶來的不斷升級的安全威脅的需求。因而，該《標(biāo)準(zhǔn)》幫助ISF及其成員保持住在信息安全良好實(shí)踐上的領(lǐng)先優(yōu)勢。

建立風(fēng)險(xiǎn)評估過程

ISF將信息風(fēng)險(xiǎn)評估定義成評估潛在商業(yè)影響，評估威脅和漏洞，以及選擇合適的措施以達(dá)到企業(yè)信息安全要求的過程。

管理信息風(fēng)險(xiǎn)對所有企業(yè)的戰(zhàn)略、計(jì)劃和目標(biāo)的實(shí)施都十分關(guān)鍵。因此，信息風(fēng)險(xiǎn)管理只有在能讓企業(yè)達(dá)成這些目標(biāo)，確保企業(yè)邁向成功，面對未知事件有應(yīng)對能力的時候，才具有重大意義，所以，一家企業(yè)的風(fēng)險(xiǎn)管理活動，無論是企業(yè)范圍內(nèi)的協(xié)同項(xiàng)目還是僅在部門層面上的，都必須包含有對可能妨礙成功的信息風(fēng)險(xiǎn)的評估。

推薦查閱的一份補(bǔ)充材料是ISF的《威脅雷達(dá)》。《威脅雷達(dá)》標(biāo)繪了針對潛在影響級別管理威脅的能力，有助于確定威脅對于特定企業(yè)的相對重要性。它還能用箭頭示意出某段時間內(nèi)可能會發(fā)生的任何可能的改變。

有必要提醒一點(diǎn)：防住所有威脅是不現(xiàn)實(shí)的。因而，企業(yè)需要緊密關(guān)注自身彈性：有哪些計(jì)劃和安排可以最小化影響，加快恢復(fù)，從事件中學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)，在未來進(jìn)一步最小化不良影響。

練好兵

很多企業(yè)認(rèn)識到了自身員工就是最大的資產(chǎn)。但是，他們依然沒有意識到保護(hù)信息安全中人類因素的必要性。基本上，人本身應(yīng)該是企業(yè)的最強(qiáng)控制。

然而，與簡單地讓人們意識到自身信息安全責(zé)任和相應(yīng)的響應(yīng)方法不同，公司企業(yè)應(yīng)該將能使員工行為成為一種習(xí)慣和公司信息安全文化一部分的積極信息安全行為嵌入進(jìn)來。盡管很多公司企業(yè)具有通常被稱為‘安全意識’的合規(guī)活動，真正的驅(qū)動力卻應(yīng)該是風(fēng)險(xiǎn)，以及不斷改變的員工行為能如何減低風(fēng)險(xiǎn)。

事件曝光會比數(shù)據(jù)失竊本身更具破壞性這種情況，絕對會摧毀客戶信任。然而，預(yù)先謀劃卻常常缺乏，有技術(shù)背景的公共關(guān)系部門的服務(wù)同樣缺乏。一定要仔細(xì)考慮響應(yīng)方式，因?yàn)橐坏┢毓猓愕墓臼强刂撇涣讼鞑サ摹Ｗ詈檬桥c你的公共關(guān)系公司進(jìn)行一些模擬，這樣你在響應(yīng)數(shù)據(jù)泄露事件時可以準(zhǔn)備得更好一點(diǎn)。

注重網(wǎng)絡(luò)彈性的需求

公司企業(yè)運(yùn)轉(zhuǎn)在一個網(wǎng)絡(luò)越來越發(fā)達(dá)的世界，傳統(tǒng)風(fēng)險(xiǎn)管理在處理來自網(wǎng)絡(luò)空間活動的風(fēng)險(xiǎn)上顯然不夠靈活。簡單說來，企業(yè)風(fēng)險(xiǎn)管理必須被擴(kuò)展，要有建立在準(zhǔn)備基礎(chǔ)之上的風(fēng)險(xiǎn)彈性，能從企業(yè)承受力和風(fēng)險(xiǎn)屬性上評估威脅界面。

隨著全球公司、政府和經(jīng)濟(jì)體變得更加相互依賴，知道怎樣打造網(wǎng)絡(luò)彈性企業(yè)將會比網(wǎng)絡(luò)安全更為關(guān)鍵。我們不再躲在防滲墻后，而是作為相互聯(lián)系的整體運(yùn)作。吸收沖擊和奮勇進(jìn)取的力量，對在網(wǎng)絡(luò)空間及其他方面具備競爭優(yōu)勢和成長力都是不可或缺的。