在某种程度上,网络安全风险管理与健康和医疗保险有一定的相似之处,例如,每一项保险措施都为您和您的周围环境提供保护,使其免受各种经济风险。但是,我们认为很多保险条款的存在是为了减少各种损失的可能性(例如预防性医疗保险)。尽管购买这些健康保险保单并不能保护保单持有人免受不幸,但它确实为保单持有人提供了一种保护措施,并在不幸事件发生时提供了一种解决方法。网络安全风险管理也是如此。在当今的商业环境中,企业拥有一个具有多个基础的网络安全策略变得越来越重要。无论是刚开始做网络安全风险管理,还是已经非常成熟,企业都应该尽可能遵循这些策略,逐步加强网络安全防护体系。1.构建网络安全框架ISO27001网络安全框架是定义信息安全管理系统(ISMS)最佳实践的国际框架,能够有效帮助企业解决业务风险问题,有效提升整体网络防护能力。此外,还有其他几个网络安全框架可供参考,例如美国国家标准与技术研究所的网络安全框架(NISTCSF),可以为企业采取必要行动减少或应对网络安全风险提供深入支持;该中心forInternetSecurity(CIS)也发布了相关框架——关键安全控制,共包含20项关键安全控制措施,分为关键建议和最佳实践两部分,可有效帮助企业降低网络成功的可能性攻击性。2、建立风险评估手册/检查表,全面落实风险评估机制,确保公司为未来可能发生的互联网攻击做好准备,而优秀的风险评估机制也需要经得起时间的考验。事实上,随着软件的更新、用户的下载和卸载,企业的IT系统和网络也在不断发生着各种变化。这些都有可能成为新漏洞的温床,而这些系统基本上都会有这些变化,也必须走在新风险的前面。因此,在准备进行风险评估时,公司应遵循几个关键点:广泛地和战略性地概述风险评估的范围,包括任何重要的前期假设和预期限制;确定将使用的具体信息来源;采用的风险计算和分析方法;确保你不会触及任何影响企业正常运作的法律法规,因为每一个法规都有一套评估和报告的要求。3、利用威胁情报对风险进行优先排序威胁情报可以为企业及时提供最有可能影响业务发展的威胁信息。同时,威胁情报还可以让安全团队对现有的风险评估框架进行关键更改,以防止出现新的威胁。的网络攻击可能会对企业造成伤害。收集、评估和调查威胁情报信息可以有效增强系统安全性,帮助信息团队更快地做出有关网络威胁的决策。此过程依赖于数据,例如网络攻击者的详细信息、他们最新的攻击策略、技术和程序(TTP)、以前使用的攻击向量以及已知的危险指标。4、漏洞渗透测试为了真正保护企业免受网络攻击,参与者还需要像攻击者一样思考,具有攻击者思维,从而预测和发现企业业务中潜在的漏洞。一些企业选择使用漏洞扫描器进行漏洞筛选,但这种自动化扫描不容易筛选出一些新出现的漏洞,也很难发现隐藏更深的BUG。此外,漏洞扫描器在处理大型基础设施时经常报告误报。在发现漏洞方面,人类的创造力至关重要,这就是为什么许多公司越来越多地转向渗透测试的原因。渗透测试允许安全人员像“攻击者”一样进入并攻击他们的系统和网络,以获得相应的漏洞。这些安全研究人员专业性很强,而且都是在企业允许的情况下进行的,不会对企业造成损害。定期渗透测试也是企业网络风险管理的关键组成部分之一。5.合理化努力=提高网络安全投资回报率网络风险管理的优势在于,它使组织能够在全面实施网络风险管理的过程中区分保护性能和覆盖范围方面的差距。因此,IT和安全团队应该尽可能合理化工具,以更低的成本不断提升网络安全防护能力。显然,企业应该定期设定相应的安全防护目标,然后系统地评估当前的安全基础设施,并与设定的安全目标进行比较。而企业在安全控制上的每一次投资,都必须达到组织预期的防御能力。在此过程中,业务中那些不适合企业风险管理的冗余工具可以逐步被剔除、合并或重组。参考来源:https://threatpost.com/tips-cybersecurity-risk-management/174968/
