在2013年末，爆發了一場大規模的數據泄露事件。黑客竊取了將近7000萬消費者的個人信息和信用卡信息，該泄露事件最終造成1.6億美元是損失并且CEO和CIO引咎辭職。盡管此次事件影響范圍廣泛，但此類事件卻不在少數。

最近，LinkedIn發生了一次大規模的數據泄露事件，官方稱這次是2012年的延伸，黑客竊取了超過1億個用戶賬戶，并在網絡上售賣。盡管LinkedIn在2012年的信息首次公開是建議用戶修改密碼，但是直到四年后企業才決定取消這些已暴露的密碼。無獨有偶，地下黑市里也曝出了MySpace的用戶賬戶數據，一時間國內外風起云涌。

面對這些狀況，企業必須從這些血淋淋的案例中吸取經驗。安全泄露事件不僅會導致清算時的財產損失，也會遭到聯邦貿易委員會(FTC)的罰款、高管的辭職和名譽的損失。一份德勤報告指出，安全問題是道德問題之后的影響企業聲譽的第二大因素。這些安全事件的影響會延續數年，甚至影響企業的股價和產品銷售。

因此，對于業務包含敏感數據的企業來說，適當進行網絡風險管理實踐培訓是非常有必要的。

利用安全框架

在幾年以前，建立網絡風險管理計劃是很難創建并實施的，但是現在，有很多框架可以幫助企業建立風險管理體系。國際標準化組織制定了ISO 27000，來指導企業建立并完善信息安全管理系統。美國國家標準與技術研究院(NIST)制定了被美國政府廣泛使用的風險管理框架。

2014年，NIST制定了網絡安全框架（CSF），該框架被許多組織作為識別和管理日常網絡風險的藍圖。CSF的主要優點在于，它可以為組織提供風險基線和易于理解的詞匯表——從初級員工到高層，甚至董事會。

CSF允許所有類型和規模的組織從以下五個關鍵功能區域識別和評估網絡風險:

1、識別——什么樣的數據和資產需要被保護？

2、保護——有哪些現有的方法可以保護這些資產？

3、檢測——怎樣才能檢測潛在的網絡威脅？

4、響應——怎樣才能響應安全事件？

5、恢復——怎樣從安全事件中恢復？

從這些功能區域識別風險后，組織必須優先考慮和制定風險處理計劃。作為計劃的一部分，企業有以下選擇：

如果為低風險，則忽略

通過不參與引發風險的活動來避免風險

通過投資新的安全技術來修復風險

轉移風險（例如網絡保險），主要針對出現可能性低，但影響級別高的風險

使用正確的工具

在指定了計劃和發展路線之后，企業需要考慮的是如何實現這些網絡風險管理策略。第一步是確定實現計劃的可用資源。

目前網絡安全專家需求量大且雇傭費用高。要找到擁有合適技能的人才十分困難，因此，企業可能需要獵頭企業或盡量自動化流程。

企業規模越大，風險和威脅也就越大，手動實現風險管理的方法并不能滿足需求，沒有自動化和監控工具，企業將面臨未能有效測量、不能保持一致且不在處理范圍內的風險。自動化風險和合規的技術使企業可以快速且有效地操作框架。

沒有合理使用風險管理技術的額外風險是可能會遭遇法律的審判。在泄露事件中，企業需要證明他們采取了合理的措施來積極防護此類事件。溫德姆連鎖酒店就曾受到過此類影響，在泄露了大量客戶信息后，該酒店被FTC以沒有安全維護客戶信息的罪名起訴。雖然溫德姆認為FTC并沒有權利規范企業網絡安全，而且法院判決也確實沒有。

網絡風險管理計劃的重要性怎么強調都不為過。采取主動的方式來診斷風險可以使企業更好地掌握安全狀況，并阻止潛在的威脅。通過制定和實施綜合的風險管理計劃，企業可以保護內部數據、客戶信息，并避免帶來深遠影響的安全事故。