IT安全风险管理最佳实践

2020-04-15 17:28:16 云杰通信 103

IT安全风险管理最佳实践

IT安全风险管理是确定组织存在哪些安全风险并采取措施缓解这些风险的一种做法。这些步骤可以包括使用软件,硬件和人员培训,以确保环境免受多种威胁因素的侵害。

IT安全风险管理最佳实践包括:

以行业标准为指导

对组织的IT环境有全面的了解

意识到安全风险

了解哪些安全风险是最相关的

制定应对安全事件的计划

对整个组织的员工进行安全实践培训

减轻IT安全风险

风险管理过程将因IT环境而异。一个公有云,一个组织的专用网络,数据中心,或它们的组合将有不同的要求和风险因素。

公共云中的安全风险管理涉及组织使用软件保护自己的数据,而云提供商则保护底层基础结构。云中的风险因素包括云客户不安全,云提供商无法保护基础架构的安全以及内部员工意外或有意散布敏感数据。

专用网络需要端点安全性,防火墙,传输中的数据加密和流量分段以减轻安全风险。专用网络的风险因素包括黑客获得对最终用户设备的访问权以进入网络。在这种情况下,黑客的流量似乎是正常的网络流量,而不是异常的流量。

为了管理数据中心的风险,组织可以具有弹性的外围防御以及检查南北向和东西向流量的安全程序。数据中心的风险因素包括拒绝服务攻击,该攻击会利用南北向流量轰炸数据中心,从而淹没基础架构并使数据不可用。

通常,组织应始终遵循安全性基础。这意味着始终对数据进行加密,控制对数据和网络的访问,对IT环境中的活动具有完全可见性,并利用自动化以跟上资源扩展和活动速度。

创建风险评估流程和安全框架

风险评估过程包括确定组织的资产,潜在风险,违规的影响以及每种潜在风险发生的可能性。

资产可以包括数据,硬件设备,应用程序,一般软件和员工。确定资产后,组织就可以更好地了解其IT环境。

必须从财务影响以及公司和品牌声誉损失的角度来量化违规的影响。一旦知道了这一点,组织就可以更好地了解发生违规时的风险所在。

组织可以采取的减轻这些风险的一般步骤包括:

查找并遵循安全框架

制定并完成风险评估流程

优先防范哪些安全风险

制定事件响应计划

持续监控环境

发生违反事件时执行事件响应计划

组织用于保护其资产的安全框架可以取决于适用的行业标准和法规。

框架的一些典型特征包括一组必须满足的原则,例如数据完整性;对高级安全设备必须具有的要求;或组织可以满足不同方案的不同安全级别。

对于上述其他要点,组织可以根据选择的安全框架的指导来进行下一步。首先,组织应该意识到它没有无限的资源可以随时保护自己免受所有威胁。因此,需要根据可能性和可能对组织造成的破坏程度来确定安全风险的优先级。

一旦确定了哪些风险最值得关注,组织就可以决定应投资哪些安全工具和计划。然后,组织决定采用的工具和计划可用于监视环境,警告安全管理员攻击并响应攻击。

组织最宝贵的数字资源是其数据。对于大多数组织来说,盗窃或丢失这些数据是头等大事。某些趋势会增加安全风险。例如,向云的转移,安全专业人员的短缺,IT环境的复杂性增加以及使用第三方(将存储信用卡信息的任务)外包给第三方。

迁移到云意味着组织对数据安全性的控制较少,并且必须信任云提供商以保护基础架构的安全。IT环境日益复杂,这意味着组织很难跟踪敏感数据的位置,正在访问的人以及如何应对环境中活动产生的大量干扰。

IT安全风险管理:要点

组织需要找到适用于其行业的安全框架,并将其用作保护IT环境的指南。

安全技术(例如防火墙)是监视环境和响应安全事件的基准。

人们在IT安全风险管理中比技术扮演更重要的角色。

组织应依靠安全基础知识和安全框架的指导来准备主要的安全风险。