资讯保安风险评估为何重要-五个基本要素 

作者:马特·威廉姆斯,IT风险顾问

资讯保安风险评估为何重要-五个基本要素 

大多数数据泄露不会成为头版新闻, 这是因为它们比以往任何时候都更频繁地发生.  根据身份盗窃资源中心2017年数据泄露年终审查,有44个.数据泄露数量比2016年增加了7%, 这是之前有记录以来最高的一年, 2017年共有1579起已知违规事件.  数据泄露已经变得如此频繁,以至于, IBM安全与波耐蒙研究所在2017年的数据泄露成本研究中指出, 全球有28%的可能性会受到黑客入侵的影响.  黑客入侵不仅比以往任何时候都更频繁,而且代价也更高.  美国在这一类别中领先所有国家,平均7美元.根据2018年数据泄露成本研究,每次数据泄露的成本为9100万美元.

这已经够糟糕的了,但泄密所造成的损失还不止于财务成本.  许多被攻破的万博平台app下载面临着声誉受损的局面,这种局面持续多年,它们面临重大诉讼的情况也并不少见.  一些万博平台app下载还发现,由于知识产权和其他专有信息被盗,他们的竞争力降低了.  无法演示安全控制(I.e. 提供一个SOC 2审计报告)已经成为许多服务提供商进入的障碍.

虽然不可能保证一个安全的技术生态系统, 有一种方法可以将你的泄密可能性降到最低,并在必要时增加你通过第三方审计的可能性,那就是定期进行信息安全风险评估.  完整的信息安全风险评估涵盖了各种相互关联的领域,从而让您全面了解组织的安全环境. 不要被大量可用的安全框架所吓倒.g. ISO 27001, NIST网络安全框架, 事实上,一个信息安全项目可以通过评估5个基本要素来评估:

  • 信息安全治理 文档和总体指南是安全的吗.  适当的治理将确保网络风险得到评估和正式管理, 职责被定义并传达给员工, 组织有持续的报告,以跟踪安全措施,并主动与执行涉众沟通状态.
  • 安全体系结构 是治理和执行之间的桥梁吗.  它涉及业务和安全性之间的映射, 投资安全技术的理由, 配套工艺设计, 以及确定执行项目任务所需的资源.
  • 工具和技术 是什么执行了治理和架构的策略、过程和策略.  评估将着眼于目的, 使用, 以及每种工具的输出,以确定重叠的功能区域和缺口区域.  成本, 维护和保养所需的努力水平, 培训需求被考虑在内,以确定您的组织未来的最佳行动方案.
  • 人们和流程 必须在适当的地方使用工具.  流程是否提供了它们应该提供的输出?  流程用户是谁?  员工是否对他们使用的工具和过程进行了适当的培训?  不管使用什么工具, 如果支持他们的人员和流程不够,那么组织的铠甲就会出现裂缝.
  • 技术测试 结合使用外部和内部扫描来识别漏洞.  漏洞是根据上下文评估的, 考虑到临界, 可能性, 以及潜在的影响,以建立一个总的风险轮廓.

为什么要评估?

  • 向客户展示你关心他们的数据: 根据思科, 三分之一经历过数据泄露的万博平台app下载失去了20%或更多的客户.  当客户向您提供他们的数据时,他们是在表示对您的组织的信任.  别让他们失望, 向你的组织展示安全问题,让他们更加安心.
  • 保持最新: 网络安全形势在不断变化.  试图获取您的组织数据的不良行为者在不断改进,您也一样.  全面评估确保针对最新威胁的最高可能级别的保护.
  • 让你的钱得到最好的效果: 根据发生的可能性和潜在影响确定问题并进行优先排序,以便将网络安全预算用于将提供最高ROI的最重要的问题.  这对于过去几年在网络安全产品和工具上投入巨资的万博平台app下载来说尤其重要.

重大的努力, 需要专业知识和技术市场意识来确保您的组织是安全的, 确保您的安全投资得到优化. 上面确定的5个关键元素是遵循任何安全最佳实践框架的基础.  Clearview的IT风险和安全专家团队在所有行业拥有丰富的经验,可以定制一个独特的解决方案来满足您的需求.

 

 

更多的 它的风险咨询 & 安全与技术 & 网络安全

相关案例研究