IT安全风险管理是识别组织中存在的安全风险并采取措施减轻这些风险的做法。这些步骤可能包括使用软件、硬件和人员培训来保护环境免受多种威胁媒介的侵害。IT安全风险管理的最佳实践包括:使用行业标准作为指南。全面了解您组织的IT环境。了解安全风险。了解哪些安全风险最相关。制定应对安全事件的计划。对整个组织的员工进行安全实践培训。降低IT安全风险风险管理流程因IT环境而异。公共云、组织的私有网络、数据中心或这些的组合将具有不同的要求和风险因素。公共云中的安全风险管理涉及组织使用软件来保护自己的数据,而云提供商则保护底层基础设施。云中的风险因素包括不安全的云客户、未能保护基础架构的云提供商以及无意或有意传播敏感数据的内部员工。专用网络需要端点安全、防火墙、传输中的数据加密和流量分段以降低安全风险。专用网络的风险因素包括黑客获得对最终用户设备的访问权限以在网络中立足。在这种情况下,黑客的流量将表现为正常的网络流量,而不是异常流量。为了管理数据中心的风险,组织可以采用弹性边界防御和安全程序来检查南北和东西流量。数据中心的风险因素包括拒绝服务攻击,它用南北向的流量轰炸数据中心,使基础设施不堪重负并使数据不可用。一般而言,组织应始终遵循安全基础知识。这意味着始终加密数据、控制对数据和网络的访问、全面了解IT环境中的活动,并利用自动化来跟上资源扩展和活动的步伐。创建风险评估流程和安全框架风险评估流程涉及识别组织的资产、潜在风险、违规影响以及每个潜在风险发生的可能性。资产可以包括数据、硬件设备、应用程序、通用软件和员工。一旦确定了资产,组织就可以更好地了解其IT环境。必须根据财务影响以及对公司和品牌声誉的损害来量化违规的影响。一旦知道这一点,组织就可以更好地了解在发生违规事件时面临的风险。组织可以采取的减轻这些风险的一般步骤包括:查找并遵循安全框架。制定并完成风险评估流程。确定要防范的安全风险的优先级。制定事件响应计划l持续监控环境。在发生违规事件时执行事件响应计划。根据SOC2安全标准,组织用于保护其资产的安全框架可能取决于适用的行业标准和法规。例如,零售商可能主要遵循支付卡行业数据安全标准(PCIDSS)框架。一旦一个组织遵守了诸如PCIDSS之类的框架,它就知道它至少对其存储和传输的数据类型具有足够的安全基线级别。框架的一些典型特征包括必须满足的一组原则,例如数据完整性;对高级安全设备的要求;或组织可以针对不同场景满足的不同安全级别。重要的是要记住,IT安全不是一种放之四海而皆准的解决方案,美国国家标准与技术研究院(NIST)改进关键基础设施网络安全框架强调了这一点。对于上述其他要点,组织可以根据他们选择遵循的安全框架的指导制定后续步骤。首先,一个组织应该意识到它没有无限的资源来保护自己在任何时候都免受所有威胁。因此,需要根据安全风险可能对组织造成的潜在损害的可能性和数量来确定安全风险的优先级。一个组织可以决定它应该投资哪些安全工具和程序,一旦它确定了哪些风险值得关注的优先级。然后,组织决定采用的工具和计划可用于监控环境、向安全管理员发出攻击警报以及对攻击做出响应。TechnologyFoundation基础技术层使组织能够监控和接收有关安全威胁、攻击和成功破坏的警报。确保强大的安全工具集合是IT风险管理的关键部分此基础层中包含的安全工具包括:网络访问控制。访问控制列表和身份访问管理。监控软件。防火墙。防病毒和反恶意软件程序。多因素身份验证。加密。根信任。使用所有这些硬件和软件工具来保护IT环境,建议组织投资一个仪表板,以一种易于理解的形式在一个地方显示来自这些不同系统的所有信息。这很重要,因为安全管理员必须解析和确定优先级的噪音或通知很多。人的作用安全程序和其他技术解决方案只是更大的安全风险管理方法的基础,人在IT安全风险管理中发挥着重要作用。人驱动安全技术,技术不能单独解决问题,需要实施和管理。从本质上讲,人们需要将技术置于能够有效完成工作的位置。但是人们(甚至那些没有恶意的人)本身就是安全风险,这也是您首先需要安全工具的原因。例如,人们普遍缺乏密码意识。在网络安全提供商HYPR的一项研究中,72%的人报告混合使用工作密码和个人密码。这就是组织的所有成员在IT安全风险管理中发挥重要作用的原因。他们都需要安全实践方面的培训,工作文化必须以安全为中心。这将降低成功进行网络钓鱼和社会工程攻击的风险。要保护的主要风险组织最有价值的数字资产是其数据。盗窃或其他数据丢失是大多数组织最关心的问题。根据Verizon的数据泄露调查报告,数据泄露通常涉及黑客攻击、社交攻击或恶意软件。还有增加安全风险的趋势,例如向云的转移、安全专业人员的短缺、IT环境的日益复杂,以及使用第三方将存储信用卡信息等任务外包给第四方。向云的转变意味着组织对数据安全的控制减少,并且必须信任云提供商使用虚拟安全措施保护底层基础设施。IT环境日益复杂意味着组织更难跟踪敏感数据的位置、访问者以及如何应对环境中活动产生的大量噪音。最后,一个组织可能会竭尽全力保护其数据,但如果它使用第三方来提供服务,并且该第三方将其责任外包给没有尽最大努力保护数据的第四方,那么这给整个系统带来压力。一个主要的弱点。为了为这些可能不安全的系统遭受黑客或其他形式的攻击做好准备,组织应该找出最关键和最敏感的信息所在的位置,首先制定保护该信息的策略,并使用安全基础知识来保护它。IT安全风险管理的关键要点摘要:组织需要找到适合其行业的安全框架,并将其用作保护其IT环境的指南。防火墙等安全技术是监控环境和响应安全事件的基线。与技术相比,人在IT安全风险管理中发挥着更重要的作用。组织应依靠安全基础知识和安全框架的指导来为重大安全风险做好准备。
