为什么要使网络风险成为企业收益,而不是损失 - 易维网

为什么要使网络风险成为企业收益,而不是损失

分类:阅读(Read) ; 热度:38 ; 最后更新于2021 年 01 月 11 日

tohnnystohnnys

本文作者:Payal Mehrotra, Senior Director of Product Management, Tanium

随着公司继续对全球流行病(新冠肺炎)做出反应,数百万的员工通常在家里远程工作。尽管这是建议的应对措施,但它也带来了新的网络风险。

网络风险业务

更具体地说,组织今天面临着四个严峻的挑战,这些挑战大大增加了他们的风险敞口:

  • 分布式劳动力:组织已经以前所未有的规模创建了分布式劳动力。但是,这些设备中的许多不是最新的最新补丁程序,因此给组织带来了很大的风险。
  • 安全人员短缺:IT团队急忙向员工提供相关的硬件和软件。这给已经负担沉重的IT团队带来了巨大的压力,以支持从扩展的远程工作到全新的运营模型的所有内容。
  • 快速迁移到云:为了缓解一些压力,组织正在迁移到云。不幸的是,他们还注意到不良行为者进行智能攻击的频率越来越高。
  • 缺乏可见性:即使在大流行之前,许多IT团队仍在努力准确评估其网络上的计算机,哪些用户可以访问公司资源,已安装的软件以及实际使用的软件。如今,随着个人设备攻击面的扩大,这些可见性差距已变得越来越普遍。

风险为收益,而非损失

在渐进式风险管理方法中,合规专家与IT安全性和运营一起可以改善整个组织的状况和合规性。从理论上讲,这意味着一次收集和分析有关法规环境,安全性和隐私以及配置管理的数据。只有通过如此深入的操作协调,才能进行真正的技术风险管理。

为了有效地做到这一点,我们必须首先将风险视为获得而不是失去的东西。从这种观点来看,风险成为组织评估其与运营,安全和监管状态相关的健康状况的一个窗口,这是组织随时间推移的观点。

有效的网络风险管理

风险管理有四个关键要素。为了将风险转化为业务收益,必须妥善处理每种风险:

  • 数据收集:许多IT团队通过根据来自多个产品和离散任务的数据制定决策来开始其风险评估。不幸的是,这可能导致协调这些系统的过程耗时。
  • 分析:收集数据后,将对其进行分析并归类为各种风险类别。理想情况下,这是连续进行的,而不是每年一次。不频繁的评估将无法提供清晰的当前组织风险状况的图片。
  • 补救措施:一旦签署分析报告,组织应有能力建议或采取补救措施以减轻风险。优先级排序特别重要,因为它可以帮助IT团队提高生产力和效率。
  • 报告:风险状况的紧急传递是最后一步,而且可以说是最重要的一步。收集全面的风险指标并将其综合起来以形成行政级别的报告,可以为决策提供依据。只有了解组织的风险状况,董事会和最高管理层才能通过有效的风险决策来指导业务,并更好地监督其风险状况。

降低网络风险并保护业务的6个步骤

打破围绕风险管理的孤岛,企业可以做出更全面的选择。您的组织可以采取以下六个步骤来防范网络风险并将风险转化为业务收益:

  • 限制用户特权:组织可以通过主动减少攻击面来减轻网络攻击的风险。虽然说起来容易做起来难,但这不是不可能的。几乎所有攻击都利用用户特权来促进攻击。例如,如果网络钓鱼攻击成功突破了员工机器或帐户,则攻击者可以横向移动网络,直到获取所需数据为止。

这是不良卫生的后果之一,不良卫生随着人们在公司的部门和工作之间移动而发展。如果仅在每次转换时扩展其访问权限,那么不可避免地会增加漏洞的风险。员工仅应访问与其当前工作直接相关的数据和网络,仅此而已。

  • 发现敏感数据:多数黑客似乎与金钱或破坏有关,但是通过关注公司最敏感的数据,可以实现两种结果。例如,在零售商和服务提供商中,支付卡信息是首要目标。类似地,公司数据可以出售或用于使公司难堪。组织需要采取积极主动的方法,首先要确保保护特权数据,然后再确保要控制未识别资产的风险。
  • 确认合规性:合规性风险报告可帮助组织了解其全部风险敞口。这包括风险事件可能发生的可能性,事件发生的原因以及其影响的潜在严重性。有效的合规评估还可以帮助组织确定风险的优先级,将风险映射到适用的风险所有者,并有效地分配资源以缓解风险。

(Tanium报告说,在过去的一年中,全球企业平均花费了7,000万美元,以满足《加州消费者隐私法案》的要求。然而,尽管进行了如此庞大的投资,但绝大多数(91%)的受访者仍在忍受基本的弱点阻止对其IT资产的全面了解。)

  • 获得高管的支持:CIO有很多工作要做,但是在应对网络威胁时,他们最大的担忧之一就是努力与非技术主管和董事会有效沟通IT风险。即使是最精通技术的企业领导者,也很难跟上与网络风险相关的发展范围和步伐。一旦CIO接受了这些建议,他们就应该在技术上进行投资,以实现绩效报告的自动化,提供跟踪风险缓解的指标,并促进围绕投资进行数据驱动的对话。
  • 相关结果的基准:通过将风险绩效与行业中规模相似的公司进行比较,企业可以更准确地衡量其风险缓解计划的有效性。标杆管理提供了一种极好的方法,可帮助组织调整最关键领域的投资。例如,虽然金融服务受到严格监管,因此法律要求保护客户数据,但公共事业仍需要保护其资产免受攻击。同样,不同规模的组织之间可能会出现差异。
  • 优先排序和自动化:任何解决方案的目标都是使您的组织更高效。风险解决方案可以通过提供一致的数据驱动的优先级排序方案和自动执行操作来提供帮助。这有可能使团队的生产力大大提高。

做出更明智的决策来克服漏洞

组织应该尽一切努力使网络风险成为业务收益,而不是损失。他们可以通过基于实时数据做出明智的,由数据驱动的决策,并连续不断地进行分析来做到这一点。如果不持续监控关键业务资产,就不可能实现真正的技术风险管理。


评论卡