財(cái)務(wù)職能部門內(nèi)的數(shù)據(jù)尤其存在風(fēng)險(xiǎn)。客戶和供應(yīng)商信息、財(cái)務(wù)報(bào)表和人事記錄等敏感數(shù)據(jù)每天都會(huì)在企業(yè)內(nèi)部和與外部的供應(yīng)商之間進(jìn)行處理和共享。財(cái)務(wù)團(tuán)隊(duì)定期與銀行、審計(jì)師和律師溝通,雖然存在一些提供保護(hù)的法律和政策,但數(shù)據(jù)最終會(huì)出現(xiàn)哪里并不確定,而且一旦發(fā)送就無法控制。駐留在企業(yè)安全邊界之外的信息可以通過同等權(quán)限訪問,這意味著一旦有人獲得這些信息,對(duì)其訪問就不會(huì)受到限制。
評(píng)估存在的漏洞
所有這些因素都帶來了巨大的風(fēng)險(xiǎn)。了解風(fēng)險(xiǎn)和潛在成本是企業(yè)規(guī)劃的重要組成部分。如果將敏感信息傳播給錯(cuò)誤的受眾,企業(yè)將如何應(yīng)對(duì)?將會(huì)帶來多大的損失?而簡(jiǎn)單地認(rèn)為“這不會(huì)發(fā)生在我身上”,或假設(shè)錯(cuò)誤接收敏感數(shù)據(jù)的一方會(huì)誠(chéng)實(shí)地行事并且刪除信息并不合理。數(shù)據(jù)泄露事件很常見,而這將對(duì)企業(yè)的業(yè)務(wù)產(chǎn)生重大影響。
數(shù)據(jù)泄露的財(cái)務(wù)風(fēng)險(xiǎn)通常是收入損失、合規(guī)挑戰(zhàn)、訴訟成本、隱私監(jiān)管處罰和聲譽(yù)損失的成本。收入損失風(fēng)險(xiǎn)和訴訟成本風(fēng)險(xiǎn)是可以衡量的有形影響。但是量化概率比較困難。在這方面,了解數(shù)據(jù)的漏洞級(jí)別很重要。如果符合SOC2法規(guī),企業(yè)的風(fēng)險(xiǎn)可以通過系統(tǒng)內(nèi)部范圍內(nèi)的控制來降低。另一方面,很難評(píng)估存儲(chǔ)庫(kù)泄露數(shù)據(jù)的可能性。而包括SOC2法規(guī)在內(nèi)的內(nèi)部合規(guī)性無法解決這個(gè)問題。
值得慶幸的是,有多種方法可以保護(hù)數(shù)據(jù)資產(chǎn)并最大程度地降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。可以考慮使用數(shù)字版權(quán)管理(DRM)、數(shù)據(jù)丟失防護(hù)(DLP)、數(shù)據(jù)分類以及安全事件和事件管理(SIEM)軟件等技術(shù)來保護(hù)和管理數(shù)據(jù)。企業(yè)可以設(shè)置網(wǎng)絡(luò)控制,并且應(yīng)該有一個(gè)流程來評(píng)估其使用的任何應(yīng)用程序的安全性,以最大限度地減少漏洞。企業(yè)全面評(píng)估其網(wǎng)絡(luò)風(fēng)險(xiǎn),以確保沒有漏網(wǎng)之魚,否則漏洞仍然存在。
實(shí)施數(shù)據(jù)安全最佳實(shí)踐
網(wǎng)絡(luò)安全實(shí)踐可能非常復(fù)雜,具體取決于企業(yè)的規(guī)模和行業(yè)。處理這些網(wǎng)絡(luò)攻擊媒介的新攻擊方法和新技術(shù)一直在出現(xiàn)。為了最大限度地評(píng)估安全風(fēng)險(xiǎn),企業(yè)需要分配資源,以便使用最有效的工具和策略(例如加密或數(shù)字權(quán)限管理)來保護(hù)最重要的信息資產(chǎn)。
財(cái)務(wù)主管應(yīng)該遵循這些最佳實(shí)踐來管理團(tuán)隊(duì)的網(wǎng)絡(luò)風(fēng)險(xiǎn):
•識(shí)別工具或流程中的風(fēng)險(xiǎn),并與IT團(tuán)隊(duì)合作以修補(bǔ)安全漏洞。
•對(duì)企業(yè)的文件進(jìn)行分類,并通過它了解其敏感數(shù)據(jù)所在的位置以及如何將訪問權(quán)限提供給需要的各方,尤其是企業(yè)外部的各方。企業(yè)的政策和流程通常會(huì)忽略或無法直接控制企業(yè)外部的數(shù)據(jù),因此具有這種意識(shí)很重要。
•采用零信任方法來保護(hù)企業(yè)的敏感數(shù)據(jù),并實(shí)施可讓企業(yè)管理風(fēng)險(xiǎn)的技術(shù)。例如,數(shù)字版權(quán)管理等軟件可以保護(hù)企業(yè)最有價(jià)值的數(shù)據(jù)資產(chǎn),無論它們?cè)谀睦飩鬏敚绻麛?shù)據(jù)意外或惡意落入壞人之手,必須能夠保護(hù)、跟蹤、審計(jì)和撤銷訪問。
•教育和培訓(xùn)財(cái)務(wù)團(tuán)隊(duì)成員識(shí)別和管理風(fēng)險(xiǎn)。員工需要了解他們正在使用的數(shù)據(jù)的重要性,并有權(quán)訪問正確的工具和流程,以便正確處理這些數(shù)據(jù)。
保護(hù)企業(yè)最寶貴的資產(chǎn)
評(píng)估企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)首先要清楚地了解其風(fēng)險(xiǎn)承受能力。企業(yè)是否能夠承受風(fēng)險(xiǎn)還是極度厭惡風(fēng)險(xiǎn)?其答案可能因需要保護(hù)的內(nèi)容和企業(yè)從事的行業(yè)而有所不同。財(cái)務(wù)職能部門能夠承受什么級(jí)別的風(fēng)險(xiǎn),并且是否愿意向利益相關(guān)者證明?首先確定不可接受風(fēng)險(xiǎn)的資產(chǎn)以及需要謹(jǐn)慎控制和管理訪問的資產(chǎn),并在那里集中執(zhí)行。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)