您当前位置:首页 > 资讯中心 > 信息安全

网络风险管理的三个关键词:协作、数据、评估

  企业风险管理(ERM)的目标即企业可用较经济合理的方法来综合处理风险。过程可简述为对企业可能面临的各种风险进行评估,对其进行分类、量化,了解对风险的容忍度,并适时采取及时有效的方法进行防范和控制。
 
  在过去,当企业着眼于风险管理时,财务风险、监管风险和运营风险为关注的重点,比如汇率、利率的变化,是否可以拿到生产许可,或者物流、仓库存在的隐患…当下,随着企业数字化程度的加深,网络风险日益受到企业管理层的关注,进入了风险管理目标的梯队,这给安全管理人员带来了新挑战:量化网络安全事件的商业影响是一项非常困难的任务,而量化此类事件发生的可能性则更为困难。
 
  技术与业务的协作
 
  在ERM框架中,“风险”这个词对不同的角色有着不同的含义。网络安全方面的负责人,往往关注于技术问题,例如,如果漏洞没有被修补,攻击者可利用它造成什么样的破坏。对于同样的问题,从业务的角度看到的可能是,存在漏洞可能会导致数据库被入侵,数据被窃取,将导致特定数量的业务损失,并会产生罚款和修复费用。对于企业的决策层来说,需要去确定一个降低风险的措施是否有意义,若是不能显着的降低风险,或者是风险涉及的系统并不关键,那么,较好把时间和金钱花在其他地方。
 
  Gartner的分析师Brian Reed说过:技术人员和业务人员之间缺乏沟通,这是企业一直遇到的问题。业务人员不理解技术问题,技术人员不知道如何证明业务价值。
 
  联邦快递习惯于为圣诞节前后发生的中断风险做计划,因为这是航运公司的旺季。然而,在2017年,一场勒索软件的袭击在6月份发生,造成了大约3亿美元的损失。可见,安全专家与业务部门的深入合作变得尤为重要,大家若多一些时间进行沟通,可以使对风险得管理变得更加有效。
 
  投入更多的精力在企业数据的保护
 
  近两年,网络风险较热的话题,非数据泄露莫属。数据泄露似乎每天都在发生,Facebook、Under Armour、AcFun、华住…用户数据是企业的宝贵财富,企业处理这些数据时面临着极大风险。想象一下,一觉醒来发现自己企业因数据泄露而占据各大新闻头条,是多么恐怖。
 
  现今,相关法律、规范也越来越完善,例如2018年5月1日实施的《信息安全技术个人信息安全规范》、2018年5月25日,欧盟《通用数据保护条例》GDPR正式生效。若企业没有恰当地保护数据,会面临监管机构的严厉处罚。
 
  至于具体的措施,除基于企业自身情况,做好数据治理、使用如访问控制、数据防泄漏、业务数据风险管理等相关的数据安全技术外,也不应忽视对内部员工的意识教育。
 
  采用更多的评估方法
 
  由于风险无时无刻都在变化,企业需要能够科学的量化网络风险发生的可能性,这一点也是网络保险行业遇到的较大难题,虽然现在网络保险很热,但是纵观全球,大型保险公司也没有广泛的推广网络保险政策。市场需求的增长也在推动保险行业从业者前行,近两年,网络保险的从业者也在不断优化风险评估的过程,比如引入“安全评级服务”,从外部的角度去衡量企业的风险,再结合传统的评估手段,如问卷、现场评估,可以使评估结果更加可靠。

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
作者:grabsun - 发布时间:2018-11-30 - 点击量:4586
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们