评估您的 IT 风险——如何以及为什么

Trustwave 的 Michael Aminzade

确保完全防范网络犯罪几乎是不可能完成的任务，但组织可以通过执行定期 IT 风险评估为自己提供避免攻击的最佳机会。当前的威胁形势是一个动荡的局面，评估风险管理流程以确保它们解决组织的特定挑战应该是一个优先事项。 Trustwave 全球合规和风险服务副总裁 Michael Aminzade 表示，一旦识别出最大的风险，就可以开始实施满足企业特定需求的最佳安全级别 .

执行信息安全风险评估的最终结果是确定最大的缺陷在哪里，并制定一个计划，承认这些缺陷并可以减轻威胁。在开始风险评估之前，必须清楚地了解企业的​​目标。需要初步确定潜在威胁、妥协的可能性和损失的影响。与涉及组织各个方面的高级管理人员、IT 管理员和利益相关者进行深入访谈，有助于确定安全方面的任何差距。

经典的中央情报局 三元组——机密性、完整性和可用性——通常被用作进行评估的基础，并且是一种有用的网络安全指导模型。可能难以在三元组之间实现良好的平衡——关注可用性可能会损害机密性和完整性，而过分强调机密性或完整性也可能会影响可用性。

一旦进行了彻底的评估，下一步就是确定哪些安全控制措施最适合降低业务风险。这些可以包括技术、政策、流程和程序的组合。

风险评估框架

在进行安全风险评估时，您可以选择多种安全框架来帮助您。五个最常见的是 ISO 27000x 系列、OCTAVE、COBIT、NIST 800-53 和 NIST 网络安全框架。在五个框架中，NIST（美国国家标准与技术研究院）成为最受欢迎的框架，企业、教育机构和政府机构经常使用它。

NIST 是美国商务部的一个单位，并免费制作了指导文件。网络安全框架 (CSF) 旨在帮助各种规模和网络安全复杂程度的组织应用风险管理的最佳实践。

该框架由三个组件组成：框架配置文件、框架核心和框架实现层。该框架设计灵活，可与其他网络安全风险管理流程一起使用，例如 ISO（国际标准化组织）标准，因此它也与美国以外的风险评估相关。

NIST 800-53 旨在支持符合美国联邦信息处理标准 (FIPS)，并且是 NIST 网络安全框架 (CSF) 的前身。这本特别出版物为组织官员提供了有关实施控制的有效性、所用风险管理流程质量指标以及有关信息系统优势和劣势的信息的证据。

最佳做法

随着网络犯罪的商业化，许多组织正在从纯粹的合规转向更广泛的风险缓解和数据保护策略。风险评估方法始终针对整个供应链，而不仅仅是内部系统。但是，最近我们看到更多的注意力也放在评估第三方供应商访问内部系统的风险上。

同样，BYOD（自带设备）趋势导致更需要关注端点安全并考虑端点对组织风险状况的影响。随着复杂性的增加，值得考虑与托管安全服务提供商 (MSSP) 合作的好处。他们丰富的知识和经验可以帮助组织了解如何最好地保护不断扩展的网络。

在开发风险评估模型时，您必须得到高级管理层的支持，他们必须了解并接受组织固有的风险，或者制定减轻风险的计划并使风险状况与组织保持一致预期水平。

理想情况下，首席信息安全官或首席信息官应该监督风险评估时间表和结果以及任何补救计划，并向其他执行管理层提供定期更新，但需要提醒所有员工，他们也分担责任业务安全。

应提供有关如何识别恶意电子邮件等风险的培训，以及如果他们怀疑已识别出风险的程序是什么。最终，企业需要承认没有完美的安全性，目标应该是为组织提供最佳的安全级别。

建立风险框架并进行 IT 风险评估将有助于为您的组织确定适当的安全级别。一旦确定了弱点，就可以解决它们，从而尽可能保证您的业务安全。

当风险评估与安全成熟度评估相结合时，组织可以为安全路线图制定投资策略，并展示已批准投资的业务回报。

此博客的作者是 Trustwave 全球合规和风险服务副总裁 Michael Aminzade