作者:邁克菲全球首席技術(shù)官 Mike Fey
我們曾撰文討論過負責企業(yè)安全的高管應(yīng)承擔哪些責任,如何識別威脅警告信號并為抵御網(wǎng)絡(luò)攻擊做好準備�����。但在這方面���,企業(yè)高管和安全團隊一直未能以一種淺顯易懂的語言向管理人員進行闡述。因此邁克菲經(jīng)常會向我們的客戶普及如何通過開放溝通渠道來影響企業(yè)安全的知識。
在對企業(yè)安全進行審核時�,我們經(jīng)常會發(fā)現(xiàn)信息溝通嚴重脫節(jié)的情況。典型的安全團隊會對企業(yè)抵御一般威脅或攻擊的能力進行評估����,并制定相應(yīng)的計劃以填補這些漏洞。但最終實施的計劃通常會漏掉一個關(guān)鍵因素:清晰了解需要保護的公司資產(chǎn)��。
為保證安全戰(zhàn)略與業(yè)務(wù)目標保持一致�,我們制作了一個小練習(xí),采用非技術(shù)方式揭示業(yè)務(wù)風(fēng)險�,以便將業(yè)務(wù)風(fēng)險與安全計劃無縫契合。我們稱之為“3 R”計劃: 資產(chǎn)����、危害與法規(guī) (Riches, Ruins,Regulations),旨在幫助企業(yè)高管和安全專家采用通俗的語言進行表述�����,并找到與業(yè)務(wù)核心密切相關(guān)的有價值資產(chǎn)�����。通常��,只有業(yè)務(wù)部門的員工才能清楚地了解這些資產(chǎn)以及資產(chǎn)間的關(guān)聯(lián),但這些人員并未囊括在安全團隊中�。由于信息溝通不暢,在這些系統(tǒng)中部署的安全控件通常無法與這些資產(chǎn)為企業(yè)所帶來的風(fēng)險相匹配�����。
此練習(xí)的工作機理非常簡單�����,首先確定3R計劃中的資產(chǎn)�、危害和法規(guī)這三個要素,然后安全團隊基于這三點進行分析以確保公司的安全:
資產(chǎn)
哪些資產(chǎn)有偷竊價值?
可以通過哪些途徑竊取這些資產(chǎn)?
哪些人最有可能竊取該資產(chǎn)?
在竊取資產(chǎn)后�����,竊賊會通過什么途徑離開?
危害
哪些情況會危害我們的信譽?
如果資產(chǎn)遭竊�����,會對公司造成哪些直接損失或責任?
如果資產(chǎn)遭竊���,會對公司造成哪些間接損失(如危害信譽)?
法規(guī)
公司需要遵守哪些合規(guī)性規(guī)則?
由誰來負責檢查合規(guī)情況?
由誰來負責根據(jù)不同的法規(guī)來審核公司的合規(guī)情況?
對于違反合規(guī)性要求的情況�����,是否有相應(yīng)的處罰措施?
此練習(xí)主要針對那些具有重要價值的資產(chǎn)�����,一旦遭竊或受到攻擊����,將可能會導(dǎo)致重大損失���,甚至?xí)虿环戏ㄒ?guī)要求而遭到處罰��。“3 R”計劃可幫助負責企業(yè)安全的高管清楚地了解企業(yè)當前的安全保護狀況����,這是抵御網(wǎng)絡(luò)威脅和攻擊的第一步����。
果-1.jpg)
