作者:邁克菲全球首席技術(shù)官 Mike Fey
我們?cè)挠懻撨^負(fù)責(zé)企業(yè)安全的高管應(yīng)承擔(dān)哪些責(zé)任����,如何識(shí)別威脅警告信號(hào)并為抵御網(wǎng)絡(luò)攻擊做好準(zhǔn)備���。但在這方面,企業(yè)高管和安全團(tuán)隊(duì)一直未能以一種淺顯易懂的語言向管理人員進(jìn)行闡述���。因此邁克菲經(jīng)常會(huì)向我們的客戶普及如何通過開放溝通渠道來影響企業(yè)安全的知識(shí)��。
在對(duì)企業(yè)安全進(jìn)行審核時(shí)�����,我們經(jīng)常會(huì)發(fā)現(xiàn)信息溝通嚴(yán)重脫節(jié)的情況�。典型的安全團(tuán)隊(duì)會(huì)對(duì)企業(yè)抵御一般威脅或攻擊的能力進(jìn)行評(píng)估,并制定相應(yīng)的計(jì)劃以填補(bǔ)這些漏洞����。但最終實(shí)施的計(jì)劃通常會(huì)漏掉一個(gè)關(guān)鍵因素:清晰了解需要保護(hù)的公司資產(chǎn)。
為保證安全戰(zhàn)略與業(yè)務(wù)目標(biāo)保持一致��,我們制作了一個(gè)小練習(xí)�����,采用非技術(shù)方式揭示業(yè)務(wù)風(fēng)險(xiǎn)��,以便將業(yè)務(wù)風(fēng)險(xiǎn)與安全計(jì)劃無縫契合���。我們稱之為“3 R”計(jì)劃: 資產(chǎn)���、危害與法規(guī) (Riches, Ruins,Regulations)����,旨在幫助企業(yè)高管和安全專家采用通俗的語言進(jìn)行表述���,并找到與業(yè)務(wù)核心密切相關(guān)的有價(jià)值資產(chǎn)��。通常��,只有業(yè)務(wù)部門的員工才能清楚地了解這些資產(chǎn)以及資產(chǎn)間的關(guān)聯(lián)��,但這些人員并未囊括在安全團(tuán)隊(duì)中�。由于信息溝通不暢�,在這些系統(tǒng)中部署的安全控件通常無法與這些資產(chǎn)為企業(yè)所帶來的風(fēng)險(xiǎn)相匹配。
此練習(xí)的工作機(jī)理非常簡單�,首先確定3R計(jì)劃中的資產(chǎn)��、危害和法規(guī)這三個(gè)要素�����,然后安全團(tuán)隊(duì)基于這三點(diǎn)進(jìn)行分析以確保公司的安全:
資產(chǎn)
哪些資產(chǎn)有偷竊價(jià)值?
可以通過哪些途徑竊取這些資產(chǎn)?
哪些人最有可能竊取該資產(chǎn)?
在竊取資產(chǎn)后�,竊賊會(huì)通過什么途徑離開?
危害
哪些情況會(huì)危害我們的信譽(yù)?
如果資產(chǎn)遭竊,會(huì)對(duì)公司造成哪些直接損失或責(zé)任?
如果資產(chǎn)遭竊�,會(huì)對(duì)公司造成哪些間接損失(如危害信譽(yù))?
法規(guī)
公司需要遵守哪些合規(guī)性規(guī)則?
由誰來負(fù)責(zé)檢查合規(guī)情況?
由誰來負(fù)責(zé)根據(jù)不同的法規(guī)來審核公司的合規(guī)情況?
對(duì)于違反合規(guī)性要求的情況��,是否有相應(yīng)的處罰措施?
此練習(xí)主要針對(duì)那些具有重要價(jià)值的資產(chǎn)�,一旦遭竊或受到攻擊�,將可能會(huì)導(dǎo)致重大損失,甚至?xí)虿环戏ㄒ?guī)要求而遭到處罰�。“3 R”計(jì)劃可幫助負(fù)責(zé)企業(yè)安全的高管清楚地了解企業(yè)當(dāng)前的安全保護(hù)狀況,這是抵御網(wǎng)絡(luò)威脅和攻擊的第一步�。
果-1.jpg)
