IT安全风险管理优秀实践
source link: https://netsecurity.51cto.com/article/713873.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
IT安全风险管理是确定组织存在的安全风险并采取措施减轻这些风险的做法。这些步骤可能包括使用软件、硬件和人员培训来确保环境免受多个威胁向量的侵害。
IT 安全风险管理最佳实践包括:
- 使用行业标准作为指导。
- 全面了解组织的 IT 环境。
- 了解安全风险。
- 了解哪些安全风险最相关。
- 制定响应安全事件的计划。
- 对整个组织的员工进行安全实践培训。
降低 IT 安全风险
风险管理过程将因 IT 环境而异。公有云、组织的专用网络、数据中心或这些的组合将具有不同的要求和风险因素。
公有云中的安全风险管理涉及组织使用软件保护自己的数据,而云提供商则保护底层基础架构。云中的风险因素包括不安全的云客户、云提供商未能保护基础架构,以及意外或故意传播敏感数据的内部员工。
专用网络需要端点安全性、防火墙、传输中数据的加密和流量分段,以降低安全风险。专用网络的风险因素包括黑客访问最终用户设备以在网络中站稳脚跟。在这种情况下,黑客的流量将显示为正常网络流量,而不是异常流量。
为了管理数据中心的风险,组织可以拥有弹性的外围防御以及检查南北和东西向流量的安全程序。数据中心风险因素包括拒绝服务攻击,这些攻击以南北向流量轰炸数据中心,使基础设施不堪重负,使数据不可用。
通常,组织应始终遵循安全基础知识。这意味着始终加密数据,控制对数据和网络的访问,全面了解 IT 环境中的活动,并利用自动化来跟上资源扩展和活动速度。
创建风险评估流程和安全框架
风险评估过程包括识别组织的资产、潜在风险、违规的影响以及每个潜在风险发生的可能性。
资产可以包括数据、硬件设备、应用程序、一般软件和员工。一旦确定了资产,组织就可以更好地了解其IT环境。
量化违规行为的影响必须在财务影响以及公司和品牌声誉损失方面进行。一旦知道这一点,组织就可以更好地了解如果发生违规行为,将面临什么风险。
组织可以采取的缓解这些风险的一般步骤包括:
- 查找并遵循安全框架。
- 制定并完成风险评估流程。
- 确定要防范哪些安全风险的优先级。
- 制定事件响应计划l持续监控环境。
- 在发生违规行为时执行事件响应计划。
根据 SOC 2 安全标准,组织用于保护其资产的安全框架可能取决于适用的行业标准和法规。例如,零售商可能主要遵循支付卡行业数据安全标准 (PCI DSS) 框架。
一旦组织符合PCI DSS等框架,它就知道它至少具有足够的基线安全级别,用于存储和传输的数据类型。
框架的一些典型特征包括一组必须满足的原则,例如数据完整性;对高级安全设备的要求;或组织可以针对不同方案满足的不同安全级别。重要的是要记住,IT安全没有一个适合所有解决方案,这是美国国家标准与技术研究院(NIST)改善关键基础设施网络安全框架中强调的。
对于上面的其他要点,组织可以根据其选择遵循的安全框架的指导来制定后续步骤。首先,组织应该意识到它没有无限的资源来保护自己在任何时候免受所有威胁。因此,需要根据安全风险对组织可能造成的潜在损害的可能性和潜在损害量来确定安全风险的优先级。
一个组织可以决定它应该投资哪些安全工具和计划,一旦它确定了哪些风险的优先级,就值得关注。然后,组织决定采用的工具和计划可用于监视环境、向安全管理员发出攻击警报以及响应攻击。
技术基金会
基础技术层使组织能够监控安全威胁、攻击和成功违规并收到警报。确保强大的安全工具集合是 IT 风险管理的关键部分此基础层中包含的安全工具包括:
- 网络访问控制。
- 访问控制表和身份访问管理。
- 监控软件。
- 防病毒和反恶意软件程序。
- 多重身份验证。
有了所有这些硬件和软件工具来保护IT环境,建议组织投资一个仪表板,以可消化的形式在一个地方显示来自这些不同系统的所有信息。这很重要,因为可能存在很多噪音或通知,安全管理员必须对其进行解析并确定优先级。
安全计划和其他技术解决方案只是更大的安全风险管理方法的基础,人在IT安全风险管理中重要性很高。
人推动安全技术,技术并不能单独解决问题,需要执行需要管理。从本质上讲,人们需要将技术置于可以有效完成工作的位置。但是,人们(即使是那些没有恶意的人)本身也是安全风险,也是首先需要安全工具的原因。
例如,人们通常密码意识很差。在网络安全提供商HYPR的研究中,72%的人报告将工作密码和个人密码混用。
这就是为什么组织的所有成员在IT安全风险管理中都扮演着重要的角色。他们都需要安全实践方面的培训,工作文化必须以安全为中心。这将降低成功进行网络钓鱼和社交工程攻击的风险。
需要防范的主要风险
组织最宝贵的数字资源是其数据。数据的盗窃或其他丢失是大多数组织最关心的问题。根据Verizon的数据泄露调查报告,数据泄露通常涉及黑客攻击,社交攻击或恶意软件。
还有一些趋势会增加安全风险,例如向云的转变,安全专业人员的短缺,IT环境的复杂性日益增加,以及使用将任务(如存储信用卡信息)外包给第四方的第三方。
向云的转变意味着组织对数据安全性的控制较少,并且必须信任云提供商通过虚拟安全措施来保护底层基础架构。IT环境日益复杂,这意味着组织更难跟踪敏感数据的位置、访问者以及如何应对来自环境中活动的大量噪音。
最后,一个组织可能正在尽一切努力保护其数据,但是如果它使用第三方提供服务,并且该第三方将其责任外包给没有尽最大努力保护数据的第四方,那么这会给整个系统带来一个重大的弱点。
为了准备黑客或其他形式的攻击对这些可能不安全的系统的攻击,组织应该找到最关键和最敏感的信息所在的位置,制定一个策略来首先保护这些信息,并使用安全基础知识来保护它。
IT 安全风险管理关键要点总结:
- 组织需要找到一个适用于其行业的安全框架,并将其用作保护 IT 环境的指南。
- 安全技术(如防火墙)是监视环境和响应安全事件的基准。
- 与技术相比,人们在IT安全风险管理中扮演着更重要的角色。
- 组织应依靠安全基础知识和安全框架的指导来为重大安全风险做好准备。
Recommend
-
11
应用程序的容器化涉及将应用程序代码及其依赖项(所需的库,框架和配置文件)打包在虚拟容器中。这种方法有助于可移植性,并且可以在各种计算环境和...
-
9
数据库安全优秀实践-51CTO.COM 数据库安全优秀实践 作者:Harris编译 2022-02-10 10:51:35 本文将介绍数据库服务器(无论是云服务器还是您自己的服务器)的最佳安全实践,以保护专有数据并避免数...
-
9
企业需要了解的十个云安全优秀实践-51CTO.COM 企业需要了解的十个云安全优秀实践 作者:云联壹云 2022-02-17 10:31:42 IT 安全社区因其共享信息和解决方案的特性而备受认可。如果企业正在迁移...
-
4
Gartner发布2022年主要安全和风险管理趋势-51CTO.COM Gartner发布2022年主要安全和风险管理趋势 作者:董培欣 2022-03-18 14:39:44 Gartner表示,安全和风险管理领导者必须应对七大趋势,才能保...
-
5
2022年有哪些云安全优秀实践?-51CTO.COM 2022年有哪些云安全优秀实践? 作者:新睿 2022-03-29 13:35:40 对于采用公有云的企业来说,安全一直是一个主要问题。随着企业从离线网络迁移到云网络,...
-
11
增强企业云安全的三个优秀实践-51CTO.COM 增强企业云安全的三个优秀实践 作者:Ashok Sankar 2022-04-14 14:02:39 为确保安全团队和领导者在继续采用云计算时能够最好地保护他们的数据,以下是三...
-
6
云上数据安全优秀实践,你学会了吗?-51CTO.COM 云上数据安全优秀实践,你学会了吗? 作者:肖力 翻译 2022-04-22 08:10:45 HSM 是设计有物理安全方面和符合政府法规的软件安全工具的硬件。物理...
-
9
最近,很多业务都是在作为独立单元开发的单体应用程序上运行的。而对单体应用程序轻微调整都会影响整个过程并降低了运行速度。例如,对一小部分代码进行编辑和修改需要开发和部署一个全新版本的应用程序。而且,如果扩展单体应用程序的一些特定功能,则必须扩...
-
5
大数据技术在金融行业的应用与安全风险管理 作者:王志超 周颖 2022-08-31 12:25:26 大数据技术已在金融行业有着广泛的应用,这不仅是一个行业的发展,更是大数据技术对于传统产业的又一次推动与变革,保障大数据...
-
5
第三方风险管理的六个优秀实践 作者:佚名 2024-02-20 14:48:40 随着云存储、软件即服务(SaaS)和人工智能、网络安全等外部产品的激增,管理第三方供应商的风险变得空前紧迫和重要。
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK