Facebook加入
LINE加入
2021/12/25
現代信息與通信技術幫助各種企業實現創新、開拓新市場、提高效率,造福客戶和社會。為提供產品和服務,企業需要廣泛利用通信環境和網路信息,因此需要適應其直接和間接影響。然而,許多企業並未充分意識到面臨的新風險。本指南旨在解決這種認知差距,並提出企業如何識別和管理網路安全風險。
現代信息與通訊技術幫助各種企業實現創新、開拓新市場、提高效率,造福客戶和社會。為提供產品和服務,企業需要廣泛利用通信環境和網路信息,因此需要適應其直接和間接影響。然而,許多企業並未充分意識到面臨的新風險。本指南旨在解決這種認知差距,並提出企業如何識別和管理網路安全風險。
媒體經常報道惡意行為體肆意破壞各類企業的網路安全事件。由於犯罪分子、黑客、國家行為體和競爭者越來越熟練地利用現代信息與通訊技術的弱點,企業面臨的風險也不斷增加。信息系統與各種外部設備的結合也使得企業信息系統面臨的威脅更加複雜。企業不僅面臨外部威脅,還必須應對外部威脅對其信息系統帶來的風險。從企業的角度看,大小企業都應該識別網路安全風險,有效應對信息系統面臨的威脅。同時,管理層也必須認識到,網路風險管理只有進行時,沒有完成時,也不存在絕對的安全。
與其他商業挑戰不同,網路安全風險管理並沒有簡單的解決方法,企業必須始終予以重視。有關主要網路威脅的文獻有很多,但是幫助企業應對網路安全的合適材料卻不多。本指南將幫助企業管理層與公司信息技術經理互動,指導制定網路安全風險管理實踐。
提高機構網路安全可以通過風險管理流程來實現,重點應放在管理上。由於技術和威脅在不斷發展變化,企業信息系統不可能十全十美,也不可能做到絕對安全。要做到在不斷變化的環境中有效運行,必須堅持長期風險管理。管理者如果沒有合理的預期,只會對網路安全的各種措施感到失望。如果沒有適當的約束,企業也會為了降低網路風險很快消耗所有資源。因此,在網路安全管理過程中,企業必須要熟悉情況,按照輕重緩急處理問題。
必須要明白,沒有適當的防範措施,則無法保證互聯網、企業信息網路和設備的安全。現代企業信息系統是一系列惡意行為攻擊的目標。安全風險管理者必須記住一條簡單的道理,「只要將有價值的東西放在網上,就會有風險,就有可能被破壞。」所幸,惡意攻擊者視為有價值的事物未必是企業看為重要的。儘管可以通過技術和流程減少破壞風險,但是惡意行為體總能瞄準相互關聯的系統中最薄弱的環節。
一個企業內部存在多個源自組織結構、人員和技術的脆弱性。即使技術和服務提供商、企業員工的工作做到最佳,也不可能實現絕對安全。因此,網路安全管理必須評估企業面臨的特殊威脅和自身的薄弱環節,並與企業重要資產進行匹配。
儘管上述情況不容樂觀,各類企業仍能培育關鍵組織能力,成功進行網路安全風險管理。首先,企業管理層必須進行風險分析,確定需要重點保護的企業資產。第二、採取必要的行動需要有領導參與,才能保證最佳信息安全實踐在企業內部得以貫徹落實。第三、組織必須準備通過機制化的組織流程識別和處置內部和外部網路事件。
網路安全事件的處理需要同行、相關政府部門、客戶、甚至競爭者之間加強溝通。事先做好準備能確保最初的問題不會因為處理過程中可以防範的錯誤而惡化。最後,需要建立機制從網路事件中吸取教訓,改善做法,推動機構變革,從而在整個組織內部推廣網路安全風險管理最佳實踐。
該指南一開始將為各類企業提出5 項處理網路安全風險的原則。隨後將列出企業應當採取的6 種關鍵行動。最後,指南將闡述如何將這5 項原則落實到政策之中,指導企業網路安全風險管理。儘管不存在絕對的安全,本指南中提出的網路安全風險管理概念將幫助企業應對不斷變化的環境中的信息安全挑戰。儘管每個企業的信息安全做法不盡相同,所有企業都可以採取幾項高級別原則指導其信息安全實踐。本指南提出五項關鍵原則,分為兩類:A. 願景和思維; B. 組織和流程。
除了這五項原則,指南還提出六種關鍵安全行動,以及如何落實原則的五個起始要素。總而言之,指南中提出的原則和行動將提高企業應對網路威脅的能力,減少安全攻擊帶來的破壞。
關鍵安全原則願景和思維
原則一 關注信息,而非技術
信息安全是一個十分寬泛的概念,包括人員、流程和技術,而不僅僅是信息技術問題。實施安全措施不應只局限於信息技術部門,而應當貫穿企業各項活動。信息安全的範圍和願景因此包括人員、產品、工廠、流程、政策、程序、系統、技術、設備、網路和信息。人是關鍵。識別和管理信息資產的脆弱性和面臨的威脅是一項艱巨任務。然而,35% 的安全事件屬於人為失誤,而非蓄意攻擊。在餘下的安全事件中,如果相關人員能以更安全的方式處理信息,可以避免其中一半以上的蓄意攻擊。
安全措施應重點保護企業最有價值的信息和系統,一旦這些系統遭到破壞,公司將遭受嚴重損失。當然,這並不意味著可以忽視其他信息資產。以風險為基礎、關注組織核心是保障信息安全的有效做法。另外,應當認識到,完全消除安全風險既不可能,也沒必要,因為這其中還涉及相關成本。
原則二 韌性思維
信息安全的目標應當是提高公司的韌性,以應對信息損失或破壞的風險。企業要遵守許多法律法規,要求其採取適當的安全管控措施。遵守這些法律法規和標準可以提高信息安全。但是,企業也可能因為實現了合規目標而驕傲自滿。安全威脅的變化速度遠超過法律法規,風險管理面對的是一個移動目標。因此,現有的企業政策和程序在實踐中可能已經過時或者失效。
定期評估企業應對網路威脅和脆弱點的韌性,對評估實現風險管理目標的進度以及網路安全活動是否足夠至關重要。評估手段包括內部和/ 或獨立評估和審計。
網路安全的責任必須超越信息技術部門。決策相關方都應參與發現問題,以及建立組織內部健康生態系統。定期評估的真正價值在於改進公司文化,提高員工的網路安全風險管理意識。
韌性信息系統思維在企業採取新方法和新設備時尤為重要,因為必須要儘早採納適當的安全措施。這種「設計安全」將促使員工在進行創新時關注信息安全風險管理。
組織和流程
原則三 做好應對準備
即使是保護措施做得最好的企業在某些時候也會遭受信息安全攻擊,這只是時間問題。因此,企業做好應對準備應該是評估的內容。為了將網路安全事件的影響降至最低,企業除了技術應對措施,必須制定組織應對方案。應對方案應包括指導意見,幫助管理人員明白何時與第三方聯繫,控制和補救安全事件,以及何時聯繫其他外部相關方。應當注意,向相關部門報告是提高整體安全的途徑之一,在某些情況下也能避免違規和罰款。
儘管內部風險管理活動必不可少,但是也應與同行、合作夥伴、企業界和執法部門交流,以便了解現有和正在出現的威脅,也能夠提前建立好關係,在事件發生時加以利用。
原則四 領導層重視
要有效管理信息安全,企業領導層必須理解和支持風險管理,將其作為機構成功的必要因素。管理層必須參與公司網路安全風險管理政策的管理和監督,確保分配足夠的人力和財力,用以保護公司資產。但是,僅有資源還不夠。企業無論大小,都應加強信息安全功能,保證公司上下共同應對網路威脅和脆弱性。
公司信息安全措施的有效性和足夠性應正式報告給公司最高經理,至少一年一次報告給高管、審計員和董事會。這些定期報告將幫助改進信息安全政策和投資決策,了解公司資產的保護情況。培養信息安全意識也有助於提高安全技能。
原則五 根據願景採取行動
僅僅讀了這份指南還不夠,必須要把公司獨特的網路安全風險管理願景付諸實踐,制定或修訂各種信息安全政策。企業信息安全政策提供了標準底線,指導企業內部各部門和職工的安全行為,提高整體安全意識。
一般來說,安全政策文件及其配套指南和標準都匯總成信息安全政策框架,隨後轉變成操作程序。由於企業越來越多地採用第三方服務,因此必須要清楚企業的信息資產如何在外部服務提供方之間流動,並與之相互關聯。如果第三方沒有切實保護企業信息,他們的安全事件也有可能成為企業運行、聲譽和品牌價值的負擔。因此,應該鼓勵服務提供商至少採納公司的信息安全原則,並且提供其信息安全實踐的細節。
第三方不只是風險源。他們也可以幫助減少風險,實現企業的網路安全管理目標。信息技術服務提供商可以通過安全評估和審計,使用現場、外部或雲端信息安全裝置、解決方案或服務等改進企業網路安全風險管理基礎設施。
六項主要安全行動以下行動清單是各類企業可以採取的一系列減少網路安全風險的實際步驟。企業採取這些措施可以提高其信息安全水平。應當記住,網路安全風險管理是沒有終點的進程。
行動一 備份企業信息、驗證恢復過程
在企業遭到攻擊,信息被竊取、更改、消除或丟失之前,確保備份企業信息,做好保護。只做備份還不夠。合理的備份程序管理包括驗證備份文件中的企業數據和信息,以及驗證恢復程序。如果信息交給第三方儲存(如雲服務),應確保這些信息也做好備份。
應當記住,光碟、磁帶、光碟機等儲存數據備份的物理介質也容易遭受風險。備份數據應當和原始數據一樣受到同等程度的保護,尤其是這類介質易搬動,因此要保證其物理安全。
行動二 更新信息技術系統
各類系統和軟體,包括網路設備和裝置,應及時更新、升級,安裝補丁。通過升級和安裝安全補丁可以解決系統的脆弱性。很多成功的網路攻擊是因為往往一年之前已經有了升級程序,卻沒有安裝,導致系統脆弱性遭到利用。
在可能的情況下,使用自動更新服務,尤其是反惡意軟體應用、網頁過濾工具和入侵偵查系統等安全系統。自動升級系統可以確保用戶直接從原始供應商處獲得有效安全軟體更新。
行動三 加大培訓投入
樹立全體員工的網路威脅和安全意識至關重要,應定期開展。培訓可以保證所有能獲取信息和進入信息系統的員工了解自己的日常職責,從而保護和支持公司的信息安全活動。如果沒有適當的培訓,員工可以很快成為企業內部的風險源,造成安全事故和脆弱性,為攻擊者所用。
企業可以建立信息安全風險管理文化。投入培訓將強化向員工發出的信息安全信息,培養他們的安全技能和特質。
行動四 監測信息環境
企業應安裝相關係統和程序,保證安全事件發生時,能得到警示。很多時候,企業並沒有意識到安全事件發生;一些企業在入侵或病毒感染數月後才發現。現在有很多技術方案可以幫助完成這一任務,包括入侵監測和預防系統、安全事件管理等。儘管如此,安裝這些設備還不夠。只有不斷監測和分析這些系統的結果才能真正利用這一技術。
很多企業可能沒有內部專長或資源來監測關鍵系統和流程。許多服務商利用雲技術和服務等模式可以提供現場和遠程安全服務。企業應找到合適的服務商,通過簽訂合同等方式,需求外部建議和幫助。
如果企業發生網路事件,應考慮向政府相關部門和行業協會報告。與外界溝通可以幫助確定企業經歷的是孤立的事件,還是大規模網路事件中的一部分。通常情況下,與外部交流溝通可以獲取信息和建議,幫助企業採取有效的反制措施。
行動五 多層防護
網路外圍安全保護和傳統准入控制並不足以保護網路安全。尤其是當企業信息系統接入互聯網、互聯網服務提供商、外包和雲服務以及便攜裝置時,這些都超出企業的管控範圍。要有效防止病毒、惡意軟體或裝置以及黑客攻擊,需要建立多層保護措施。聯合使用多種技術可以大大降低小攻擊發展成為大規模事件的幾率。多層信息網路防護可以限制攻擊者的自由度,增加企業監測系統發現攻擊的概率。網路風險保險是企業減少網路安全事件財務損失的一條途徑,也能加強企業的內部風險管理。
行動六 為攻擊做好準備
風險管理不僅僅是降低概率,還包括將事件的潛在破壞降至最低。這意味著要做好快速調查事件的準備,保證擁有足夠的資源,調試好系統和流程,以捕捉關鍵信息。如果是惡意程序侵入,應予以消除。準備也意味著做好組織規劃,快速做出良好決策,協調採取必要行動,控制事件。 至於誰處理和如何處理,團隊可以做好行動設計,進行有效溝通。總之,事先準備時注意輕重緩急,可以將破壞降至最低。
將原則運用到信息安全政策之中在企業管理過程中,最重要的任務是將本指南中的各項原則轉化成政策和實踐。本章的目標就是簡化這一任務。以下各個要素為企業制定網路安全風險管理政策和實踐提供了起點。
關注信息,而非技術
建立職能部門,確定負責人領導和推動信息安全相關活動,整個公司為安全負責。在制定信息安全目標時,應確定以下內容:
● 工作內容;
● 所需資源;
● 負責人;
● 何時安全任務;
● 結果如何評估。
如果企業沒有足夠的內部安全經驗,則需要獲得更多信息,需求網路安全專家幫助,將信息安全納入其商業程序和信息系統之中。
樹立韌性思維
信息安全活動應當與合規和其他降低風險的努力協調一致,並在可能的情況下融為一體,以減少活動和職責重複。
風險規避不應影響採納新技術。信息安全方法除了幫助實現網路安全風險管理目標,也可以讓企業更有條件引進新的創新技術。
確保安全納入企業實施的每一個項目之中。從一開始便做好安全工作並不會大幅增加項目成本和周期。相反,如果之後才做,或者更糟糕的是發生了攻擊之後才做補救工作,成本反倒會大幅增加、項目周期大幅延長,影響也會更大。
確定哪些設備,尤其是移動設備,如員工和商業夥伴的設備,可以進入公司網路,獲取公司信息。考慮如何管理公司設備上的軟體和安全設置。
評估數據的准入情況,確保實施管控措施,保證信息的保密性、完整性和可及性。管理人員應評審、驗證能進入部門應用程序,獲得信息的內外部用戶。建議對員工獲得數據和進入信息系統建立適當管控。
制定丟失或被盜設備報告程序,在有可能的情況開發遠程刪除功能,可以消除遺失或被盜設備上的所有公司信息。
做好應對準備
人人都會犯錯。公司如果能以信息安全失誤為機遇,進行安全事故公開評審,則可以建立員工在安全事故發生時不懼怕報告的文化。
指定相關人員與業界同行或其他利益相關方分享適當的信息,既能幫助建立領先實踐,也能警示潛在攻擊。
指定相關人員在安全事件,尤其是網路犯罪發生伊始,就保護好證據。
確定如何以及何時向計算機安全應急響應中心、政府部門或執法部門報告信息安全事件。
領導力是關鍵
企業員工既要對信息和信息保護負責,也應該有適當的授權,與最高管理層接觸,掌握相關工具,獲得培訓等,以便履行責任、應對可能面臨的威脅。
小企業應在公司內部或外部有人為其定期檢查信息安全措施是否足夠,並為信息安全正式承擔責任。此人可能不是全職,但是卻對公司的存亡至關重要。
在大型企業,網路安全的責任由個人與工作組和工作委員會共同承擔。每個團隊成員都應明確了解自己的職責。為此,還需要適當的文件和溝通。
根據願景採取行動
控制內部網路准入,重點應放在企業和員工所需的服務和資源上。
要求使用高強度密碼,並考慮採取除了密碼還必須提供額外信息的驗證方法。
針對靜止和傳輸數據採取適當的加密手段,尤其是公共網路節點和筆記本電腦、USB 和智能手機等容易成為竊取對象的便攜設備。
根據法律和監管要求,建立詳細的備份和檔案政策,以便恢複信息。具體細節包括:
● 哪些數據做了備份,如何做的備份;
● 多久做一次數據備份;
● 誰負責建立備份、驗證內容;
● 備份在哪儲存,如何儲存;
● 誰可以獲得備份;
● 恢復程序如何操作和檢驗。
針對以下主題開展信息安全意識培訓項目:
● 安全和負責任地溝通;
● 巧妙使用社交媒體;
● 安全傳輸數字文件;
● 合理使用密碼;
● 避免丟失重要信息;
● 確保只有相關人員才能獲取信息;
● 防範病毒和其他惡意軟體;
● 發現潛在安全事件時向誰發出預警;
● 如何防止受騙泄露信息。
作者 >>>
國際商會(International Chamber of Commerce)擁有近百年歷史,會員包括各行業、各地區的企業。國際商會的使命包括致力於推動貿易和投資便利化,也包括建立人們對數字經濟的信息,增加數字經濟給企業、消費者、政府與社會帶來的機遇。
譯者 >>>
熱門推薦
留言回覆
