风险无处不在,我们每天都要基于风险做出决定。
想象一下我们开车上班要面临哪些风险?也许是堵车,也许是雨雪天气,也许遇到一个“新手上路”,也许遇到车子抛锚、刹车失灵这样的状况…风险数不胜数,其中不乏可能产生严重后果的风险,我们又没有精力面面俱到将他们完全消除,为什么我们还敢开车呢?
因为无形中我们都是做过风险评估和管理的,针对那些重要的风险,采取必要的措施,从而降低风险。
车祸会造成严重影响,但发生概率不高,所以大家会注意系安全带、不在开车时打电话;堵车虽不会威胁生命,但会造成迟到的影响,发生概率很高,所以大家在出行前都会查看路况,选择通畅的道路。
类似的,在公司的网络安全风险管理中,想面面俱到必然投入巨大,这对成本有限的中小企业显然不现实,因此要集中资源去管理最关键的风险,资源用在“刀刃”上。
那么,该如何挑选出对于自己最关键的那几个值得好好管理的安全风险呢?
基本思路是:
重要度:代表一种风险的重要程度,值越大,重要度越高,越需要好好管理。
影响:代表风险真的发生了产生影响的程度,仍以开车为例,车祸风险的影响很大,堵车的影响就较小。
可能性:代表风险发生的可能性。
下面,我们用三步来流程化讲解具体如何实施:
影响力判断
第一步,给你的数据按影响力分级
拿出一张纸写下你在工作中接触到的所有类型的数据(如果觉得自己考虑的不够周全,可以叫上你的项目经理、行政、法律顾问和IT人员共同商讨),针对每类数据,问自己三个问题:
1、 如果这类数据被公开,会对我的公司产生什么影响?
2、 如果这类数据出现谬误,会对我的公司产生什么影响?
3、 如果我或者我的客户无法访问到这个数据,会产生什么影响?
并按照他们影响力等级(低中高)填写下面这个表格:
数据需要依托硬件存储和软件的处理,因此对于这些硬件和软件,我们也要关注。
实际上,数据并不是集中在一个地方的。比如客户联系方式这一类别的数据,它可能同时存在在客户管理系统中、某些员工的手机或其他设备中,为了统一管理,我们需要在下面这个表中详细的列出来,并给出总体影响力的评分。
可能性计算
第二步,评估数据遭到破坏的可能性
那么,整理出的这些数据,遭到破坏的可能性有多大呢?中小企业应该根据自身业务特点,总结出一个安全风险与薄弱环节的清单,并根据上一节表二的内容,评估出某数据载体(硬件设备或软件)在发生泄漏、篡改、损坏时的可能性。
经过这两步,我们就可以根据
重要度 = 影响力 * 可能性
评估出,到底哪些数据是最重要的,最需要优先考虑保护的。
在上表中我们可以看到,当影响与可能性双高,优先级高,中小企业应当优先考虑解决这部分的数据防护问题。
知道什么数据最重要还是搞不定?你需要帮助
社会分工的结果让我们可以享受到更多的专业服务,在网络安全领域也不例外,专业的事应该交给专业的人来做。当你了解自己企业面临的网络安全问题后,就可以考虑选择谁来提供服务了。
1、 征求意见。你可以问问你的合作伙伴,相关专业的学者,甚至是看看你欣赏的同行业大佬在用什么产品。
2、 查看往期表现。通常网络安全企业都会在自己的官网展示产品,可以查看一下这家企业经营了多少年,是否在业内活跃,曾经做过什么客户,询问这些用户的使用效果,是否还继续购买该企业的服务。
以上,我们利用了一个公式、两个步骤、三个表格找到了对于一个中小企业最应该关注的网络安全环节,并提供了后续挑选服务商的方法。
在下一期《中小企业网络安全怎么搞?》中,我们将给大家提供一些简单可行的网络安全管理方法供中小企业使用。
网康科技,网络安全管理专家:
下面放网康科技的介绍
做这个系列的目的:
大企业关注网络安全大家觉得合情合理,但是当提到中小企业网络安全的时候,很多人会觉得中小企业没有必要过于关注自己的网络安全,因为——反正也没什么“值钱”的东西。然而,中小企业一旦面临攻击,不管是来自黑客攻击、内部商业信息泄露亦或是来自自然灾害的侵害,损失可能比大企业要更多。一次严重的网络安全事故,可能就让抗风险能力较低的中小企业,面临关门的风险。
本系列基于NIST最新发布的中小企业网络安全标准,一步步告诉中小企业,如何用最低的成本,做成网络安全管理这件大事儿。
这是你系统了解中小企业网络安全管理方法的最佳机会。
原文发布时间为:2016年12月16日