從網(wǎng)絡(luò)“攻擊”到“了解你的對手”再到“網(wǎng)絡(luò)威脅”——看起來隨著時代的變遷，組織機構(gòu)所面臨的安全隱患可絲毫沒有減弱。

網(wǎng)絡(luò)威脅以多種形式存在，從民族國家所從事到間諜活動到網(wǎng)絡(luò)犯罪分子對有價值信息的竊取與利用，再到出于特定動機而窺探數(shù)據(jù)內(nèi)容或者由此導致業(yè)務(wù)中斷可謂無所不包。

除此之外，原應(yīng)值得信賴的內(nèi)部人士同樣有可能成為竊取企業(yè)或者客戶數(shù)據(jù)的罪魁禍首，甚至連出于好意的工作人員也有可能在不經(jīng)意間令寶貴的客戶或者業(yè)務(wù)數(shù)據(jù)意外泄露。

毫無疑問，網(wǎng)絡(luò)犯罪分子擁有極強的適應(yīng)能力與創(chuàng)造性，但對我們來說，威脅環(huán)境本身是既定存在的——換言之，最重要的是如何對潛在風險加以管理。

在混亂的環(huán)境當中，保障安全的一大前提要求業(yè)務(wù)領(lǐng)導者們不會因此被干擾了立場與判斷。如今的安全環(huán)境中充斥著大量技術(shù)解決方案，相關(guān)供應(yīng)商承諾為客戶提供覆蓋各類邊界的檢測與預防機制。然而要想真正搞定安全威脅，業(yè)務(wù)領(lǐng)導者們需要后退一步并認清這樣的現(xiàn)實，即網(wǎng)絡(luò)風險在本質(zhì)上并不屬于IT風險、而應(yīng)該算是商業(yè)風險，因此與各類商業(yè)風險一樣其同樣需要加以管理。

同樣重要的是，我們需要意識到雖然網(wǎng)絡(luò)威脅不可能被徹底消除，但風險管理確實是一項能夠?qū)崿F(xiàn)的任務(wù)。隨意選擇一套“風險框架”非常簡單，不過與市場上的各類框架類似，如果未能投入時間與精力認真加以考量，那么我們所選定的方案有可能在耗費了大量成本之后卻幾乎無法提供任何有價值的安全回報。

我們已經(jīng)無數(shù)次地通過技術(shù)或者軍事術(shù)語對網(wǎng)絡(luò)安全進行討論，但這樣做的惟一結(jié)果就是讓高層管理者感到一頭霧水并放棄了其這類問題的關(guān)注。因此重要的是，安全專業(yè)人士必須要將當前威脅環(huán)境以及網(wǎng)絡(luò)安全挑戰(zhàn)做出解釋，并確保自己使用的是易于理解的語言表達方式。

有鑒于此，切實掌握組織機構(gòu)當前所面對的網(wǎng)絡(luò)風險就成了一大必要前提。每一位領(lǐng)導都必須能夠提出以下這類簡單的非技術(shù)性問題，并為其找到確切的答案：

1.了解數(shù)據(jù)價值

你是否了解所在組織機構(gòu)內(nèi)數(shù)據(jù)的實際價值?這類數(shù)據(jù)價值不僅僅體現(xiàn)在組織內(nèi)部，同時也應(yīng)立足于網(wǎng)絡(luò)犯罪分子角度，思考他們樂于竊取哪些信息以滿足自己的需要。哪些數(shù)據(jù)在丟失或者泄露之后給帶來嚴重的后果?大家必須據(jù)此制定一套完整的有價值數(shù)據(jù)清單。

2.了解誰曾訪問過有價值數(shù)據(jù)

誰對特定信息擁有管理或者訪問權(quán)限?大家的“受信內(nèi)部人員”是否真的需要通過這種權(quán)限來完成自己的日常工作?這個問題之所以如此重要，是因為我們必須要對指向有價值數(shù)據(jù)的訪問活動進行嚴密監(jiān)控。大家絕不應(yīng)該把自家鑰匙交給任何外人，而監(jiān)控有價值數(shù)據(jù)訪問情況的意義也應(yīng)遵循同樣的思路。

3.了解自己的有價值數(shù)據(jù)保存在何處

大家必須了解自己的有價值數(shù)據(jù)保存在何處以及如何對其進行。這部分信息在以本土、離岸或者云端方式存儲，甚至在由第三方負責打理嗎?除此之外，我們還有必要了解自己的服務(wù)供應(yīng)商是否會將有價值數(shù)據(jù)同分包商進行共享。

4.了解誰在保護我們的數(shù)據(jù)

大家需要了解誰在對有價值數(shù)據(jù)進行保護，這一點真的非常重要。另外，務(wù)必弄清這些保護服務(wù)商身在何處。

5.了解數(shù)據(jù)的受保護水平

大家需要了解安全專家們采取了怎樣的舉措來對我們的數(shù)據(jù)進行24/7全天候保護。另外，這些第三方供應(yīng)商是否會在保護數(shù)據(jù)的同時對其內(nèi)容進行訪問?

只有能夠確切回答上述問題，大家所在的組織機構(gòu)才有可能真正理解網(wǎng)絡(luò)風險水平并對其管理成效做出準確評估。