對于網(wǎng)絡安全風險評估 企業(yè)當如何妥善處理?
組織不必花費太多時間評估網(wǎng)絡安全情況,以了解自身業(yè)務安全。因為無論組織的規(guī)模多大,在這種環(huán)境下都面臨著巨大的風險。但是,知道風險有多大嗎?
關注中小企業(yè)
網(wǎng)絡犯罪分子多年來一直針對大型企業(yè)進行網(wǎng)絡攻擊,這導致許多中小企業(yè)認為他們在某種程度上是免疫的。但是情況并非如此。其實中小企業(yè)面臨著更大的風險,因為黑客知道許多公司缺乏安全基礎設施來抵御攻擊。
根據(jù)調(diào)研機構的調(diào)查,目前43%的網(wǎng)絡攻擊是針對中小企業(yè)的。盡管如此,只有14%的中小企業(yè)將其網(wǎng)絡風險、漏洞和攻擊的能力評估為“高效”。
最可怕的是,有60%的小企業(yè)在網(wǎng)絡攻擊發(fā)生后的六個月內(nèi)被迫關閉。
換句話說,如果是一家財富500強公司或美國的家族企業(yè),網(wǎng)絡威脅并不能造成這么大的損失,并且這些公司將會制定計劃來保護自己免遭代價昂貴的攻擊。
以下是一些可幫助評估組織的整體風險水平的提示:
1. 識別威脅
在評估風險時,第一步是識別威脅。每個組織都面臨著自己的一系列獨特威脅,但一些最常見的威脅包括:
- 惡意軟件和勒索軟件攻擊
- 未經(jīng)授權的訪問
- 授權用戶濫用信息
- 無意的人為錯誤
- 由于備份流程不佳導致數(shù)據(jù)丟失
- 數(shù)據(jù)泄漏
識別面臨的威脅將使組織能夠了解薄弱環(huán)節(jié),并制定應急計劃。
2. 利用評估工具
組織不必獨自去做任何事情。根據(jù)目前正在使用的解決方案和系統(tǒng),市場上有許多評估工具和測試可以幫助組織了解正在發(fā)生的事情。
微軟安全評估和規(guī)劃工具包就是一個例子。組織會看到“解決方案加速器”,它們基本上是基于場景的指南,可幫助IT專業(yè)人員處理與其當前基礎設施相關的風險和威脅。
利用評估工具可以幫助組織在相當混亂和分散的環(huán)境中找到清晰的信息。
3. 確定風險等級
了解組織面臨的威脅是一回事,但某些威脅比其他威脅更危險。為了描繪出威脅的精確圖像,重要的是要指定風險級別。
低影響風險對組織的未來影響微乎其微或不存在。中等影響風險具有破壞性,但可以通過正確的步驟恢復。高影響的風險是巨大的,可能會對組織產(chǎn)生永久性的影響。
4. 雇用外部公司
有時候引入一家外部安全公司來進行風險評估,并確定組織是否已經(jīng)被入侵或被攻破會很有幫助。
“獨立滲透測試也是測試組織的彈性和準備情況的有效方法。”安全雜志的Steven Chabinsky寫道,“把門鎖上是一回事,測試是否有人能夠超越侵入是另一回事。”
雖然與外部公司合作并訂購獨立滲透測試的成本可能很高,但這遠遠低于實際受到黑客攻擊的損失。
始終知道自己的情況
網(wǎng)絡安全并不是一件組織可以置之不理的事情。組織總是需要知道自己的情況,這樣才能適當?shù)乇Wo自己的業(yè)務、員工和客戶。正式和非正式風險評估將幫助組織有效地應對風險。