企业风险管理(ERM)的目标即企业可用最经济合理的方法来综合处理风险。过程可简述为对企业可能面临的各种风险进行评估,对其进行分类、量化,了解对风险的容忍度,并适时采取及时有效的方法进行防范和控制。
在过去,当企业着眼于风险管理时,财务风险、监管风险和运营风险为关注的重点,比如汇率、利率的变化,是否可以拿到生产许可,或者物流、仓库存在的隐患…当下,随着企业数字化程度的加深,网络风险日益受到企业管理层的关注,进入了风险管理目标的第一梯队,这给安全管理人员带来了新挑战:量化网络安全事件的商业影响是一项非常困难的任务,而量化此类事件发生的可能性则更为困难。
技术与业务的协作
在ERM框架中,“风险”这个词对不同的角色有着不同的含义。网络安全方面的负责人,往往关注于技术问题,例如,如果漏洞没有被修补,攻击者可利用它造成什么样的破坏。对于同样的问题,从业务的角度看到的可能是,存在漏洞可能会导致数据库被入侵,数据被窃取,将导致特定数量的业务损失,并会产生罚款和修复费用。对于企业的决策层来说,需要去确定一个降低风险的措施是否有意义,若是不能显著的降低风险,或者是风险涉及的系统并不关键,那么,最好把时间和金钱花在其他地方。
Gartner的分析师Brian Reed说过:技术人员和业务人员之间缺乏沟通,这是企业一直遇到的问题。业务人员不理解技术问题,技术人员不知道如何证明业务价值。
联邦快递习惯于为圣诞节前后发生的中断风险做计划,因为这是航运公司的旺季。然而,在2017年,一场勒索软件的袭击在6月份发生,造成了大约3亿美元的损失。可见,安全专家与业务部门的深入合作变得尤为重要,大家若多一些时间进行沟通,可以使对风险得管理变得更加有效。
投入更多的精力在企业数据的保护
近两年,网络风险最热的话题,非数据泄露莫属。数据泄露似乎每天都在发生,Facebook、Under Armour、AcFun、华住…用户数据是企业的宝贵财富,企业处理这些数据时面临着极大风险。想象一下,一觉醒来发现自己企业因数据泄露而占据各大新闻头条,是多么恐怖。
现今,相关法律、规范也越来越完善,例如2018年5月1日实施的《信息安全技术个人信息安全规范》、2018年5月25日,欧盟《通用数据保护条例》GDPR正式生效。若企业没有恰当地保护数据,会面临监管机构的严厉处罚。
至于具体的措施,除基于企业自身情况,做好数据治理、使用如访问控制、数据防泄漏、业务数据风险管理等相关的数据安全技术外,也不应忽视对内部员工的意识教育。
采用更多的评估方法
由于风险无时无刻都在变化,企业需要能够科学的量化网络风险发生的可能性,这一点也是网络保险行业遇到的最大难题,虽然现在网络保险很热,但是纵观全球,大型保险公司也没有广泛的推广网络保险政策。市场需求的增长也在推动保险行业从业者前行,近两年,网络保险的从业者也在不断优化风险评估的过程,比如引入“安全评级服务”,从外部的角度去衡量企业的风险,再结合传统的评估手段,如问卷、现场评估,可以使评估结果更加可靠。
企业也可参照这种方式,通过评级或审计的方式来进行风险评估。目前,安全评估服务还是一个新兴行业,全球专业从事安全评级服务的企业约10家,最早成立的PREVALENT注册时间为2004年。其中,除了UpGuard及安全值外,全部企业均在美国注册。(UpGuard原为一家澳洲初创企业,后把总部搬到了旧金山;安全值为中国团队,总部在北京)。
相关阅读