首頁>新聞聚焦>網絡風險管理的三個關鍵詞:協作、數據、評估

網絡風險管理的三個關鍵詞:協作、數據、評估

2018-11-29
教學輔助中心-李華云

企業風險管理(ERM)的目標即企業可用最經濟合理的方法來綜合處理風險。過程可簡述為對企業可能面臨的各種風險進行評估,對其進行分類、量化,了解對風險的容忍度,并適時采取及時有效的方法進行防范和控制。

在過去,當企業著眼于風險管理時,財務風險、監管風險和運營風險為關注的重點,比如匯率、利率的變化,是否可以拿到生產許可,或者物流、倉庫存在的隱患…當下,隨著企業數字化程度的加深,網絡風險日益受到企業管理層的關注,進入了風險管理目標的第一梯隊,這給安全管理人員帶來了新挑戰:量化網絡安全事件的商業影響是一項非常困難的任務,而量化此類事件發生的可能性則更為困難。

技術與業務的協作

在ERM框架中,“風險”這個詞對不同的角色有著不同的含義。網絡安全方面的負責人,往往關注于技術問題,例如,如果漏洞沒有被修補,攻擊者可利用它造成什么樣的破壞。對于同樣的問題,從業務的角度看到的可能是,存在漏洞可能會導致數據庫被入侵,數據被竊取,將導致特定數量的業務損失,并會產生罰款和修復費用。對于企業的決策層來說,需要去確定一個降低風險的措施是否有意義,若是不能顯著的降低風險,或者是風險涉及的系統并不關鍵,那么,最好把時間和金錢花在其他地方。

Gartner的分析師Brian Reed說過:技術人員和業務人員之間缺乏溝通,這是企業一直遇到的問題。業務人員不理解技術問題,技術人員不知道如何證明業務價值。

聯邦快遞習慣于為圣誕節前后發生的中斷風險做計劃,因為這是航運公司的旺季。然而,在2017年,一場勒索軟件的襲擊在6月份發生,造成了大約3億美元的損失。可見,安全專家與業務部門的深入合作變得尤為重要,大家若多一些時間進行溝通,可以使對風險得管理變得更加有效。

投入更多的精力在企業數據的保護

近兩年,網絡風險最熱的話題,非數據泄露莫屬。數據泄露似乎每天都在發生,Facebook、Under Armour、AcFun、華住…用戶數據是企業的寶貴財富,企業處理這些數據時面臨著極大風險。想象一下,一覺醒來發現自己企業因數據泄露而占據各大新聞頭條,是多么恐怖。

現今,相關法律、規范也越來越完善,例如2018年5月1日實施的《信息安全技術個人信息安全規范》、2018年5月25日,歐盟《通用數據保護條例》GDPR正式生效。若企業沒有恰當地保護數據,會面臨監管機構的嚴厲處罰。

至于具體的措施,除基于企業自身情況,做好數據治理、使用如訪問控制、數據防泄漏、業務數據風險管理等相關的數據安全技術外,也不應忽視對內部員工的意識教育。

采用更多的評估方法

由于風險無時無刻都在變化,企業需要能夠科學的量化網絡風險發生的可能性,這一點也是網絡保險行業遇到的最大難題,雖然現在網絡保險很熱,但是縱觀全球,大型保險公司也沒有廣泛的推廣網絡保險政策。市場需求的增長也在推動保險行業從業者前行,近兩年,網絡保險的從業者也在不斷優化風險評估的過程,比如引入“安全評級服務”,從外部的角度去衡量企業的風險,再結合傳統的評估手段,如問卷、現場評估,可以使評估結果更加可靠。

企業也可參照這種方式,通過評級或審計的方式來進行風險評估。目前,安全評估服務還是一個新興行業,全球專業從事安全評級服務的企業約10家,最早成立的PREVALENT注冊時間為2004年。其中,除了UpGuard及安全值外,全部企業均在美國注冊。(UpGuard原為一家澳洲初創企業,后把總部搬到了舊金山;安全值為中國團隊,總部在北京)。

 

50元提现的现金棋牌