风险管理是任何网络安全战略的重要组成部分,安全专家在伦敦举行了欧洲信息安全峰会。
他们说,战略很重要,因为网络罪犯有战略 - 使用所有可用手段来实现其目标。
“但网络风险不是关于技术的;它也是关于人和流程,因此它是关于领导和管理,“英格兰银行首席信息安全官员将布兰登·布兰登表示。
他说,企业领导人对企业领导人来说很重要,但这意味着他们需要在管理它之前了解风险。
“任何网络风险都是威胁,脆弱性和资产的组合 - 所有三个都必须出现存在风险,”布兰登说。
除了了解最可能的威胁是什么,组织需要识别最重要的资产或数据和系统以及漏洞。
组织可以通过专注于他们的人民,流程和技术,确定弱点并尽可能减轻这些来解决脆弱性。
根据Brandon的说法,每个组织都需要一系列的减轻和控制,旨在减少最可能威胁的风险。
这需要绘制并维护风险登记册以获得冒险和优先级,并确定某种形式的风险治理过程,包括风险所有者 - 负责业务关键数据和系统 - 以及IT安全的代表,信息安全,采购,人力资源(HR)和法律。
理解风险很重要,正如日本未能应对2011年宫城和福岛县的地震后果的情况所展示的,惠普·霍尔特帕德企业首席技术官Andzej Kawalec表示,据说。
他说,未能了解地震活动引起的海啸的风险,意味着日本没有必要的过程,导致海防被淹没,发电机被淘汰和福岛核电站的崩溃。
风险评估是预测不仅仅是自然灾害的关键组成部分,而且还有网络攻击,他说 - 这对组织提供了如何准备,检测和回应它们至关重要。
阿德里安德维斯(ISC)2号董事总经理阿德里安德维斯表示,往往被忽视的另一个风险的重要性是与客户和合作伙伴共享信息。
“分享信息对现代企业至关重要,但它也是风险 - 关键问题组织应该问自己是谁是谁在于分享信息,他们分享的是什么,谁将看到这些信息?”他说。
戴维斯引用了一家飞机行业工程师的例子,他们正在寻找特定的液压泵,无意中共用新飞机的蓝图以及中国潜在供应商的液压泵要求。这导致在飞机制造商能够将其移除之前在线广泛使用的蓝图。
组织需要在供应链中进行安全性,说戴维斯,并认识到共享信息自动改变其风险姿势 - 可能以难以量化的方式。
然而,他表示未能分享威胁信息将使网络犯罪分子成为一个优势,因为他们非常擅长信息分享实现目标。
“如果企业不共享网络攻击信息,那将使每个人都更脆弱,而且坏人将赢得并毁掉多年来经济增长的最佳引擎,”戴维斯说。
Cert-UK事件管理主管Mike McLellan表示,分享有关威胁和最佳实践的分享信息是实现有效风险管理的宝贵工具。
但是,Techuk首席执行官朱利安大卫指出,根据最近的IBM安全调查,虽然超过一半的首席执行官民意调查商定,同意对网络犯罪有必要进行合作,但只有第三个愿意在外部分享其组织的网络安全事件信息。
呼应布兰登的评论,他表示,对于组织来说,了解对组织各级的重要性 - 包括董事会 - 并用作所有风险管理进程的基础。
布兰登表示,一旦组织确定了风险,减轻和计划的缓解,首席信息安全官(CISO)很重要,以了解剩余的“净风险”在风险所有者的风险偏好中。
他说,找出风险所有者的风险所有者“真正的风险偏好是询问他们是否乐意接受净风险;如果他们不是,要概述哪些努力和金钱来减少这一风险。
一旦风险所有者批准了进一步的减轻和控制或签署了净风险,他们就会取得风险的所有权,并且Ciso的职责完成,布兰登说。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。