IT安全風險管理是確定組織存在的安全風險并采取措施減輕這些風險的做法。這些步驟可能包括使用軟件、硬件和人員培訓來確保環(huán)境免受多個威脅向量的侵害。

IT 安全風險管理最佳實踐包括：

• 使用行業(yè)標準作為指導。
• 全面了解組織的 IT 環(huán)境。
• 了解安全風險。
• 了解哪些安全風險最相關。
• 制定響應安全事件的計劃。
• 對整個組織的員工進行安全實踐培訓。

降低 IT 安全風險?

風險管理過程將因 IT 環(huán)境而異。公有云、組織的專用網(wǎng)絡、數(shù)據(jù)中心或這些的組合將具有不同的要求和風險因素。

公有云中的安全風險管理涉及組織使用軟件保護自己的數(shù)據(jù)，而云提供商則保護底層基礎架構(gòu)。云中的風險因素包括不安全的云客戶、云提供商未能保護基礎架構(gòu)，以及意外或故意傳播敏感數(shù)據(jù)的內(nèi)部員工。

專用網(wǎng)絡需要端點安全性、防火墻、傳輸中數(shù)據(jù)的加密和流量分段，以降低安全風險。專用網(wǎng)絡的風險因素包括黑客訪問最終用戶設備以在網(wǎng)絡中站穩(wěn)腳跟。在這種情況下，黑客的流量將顯示為正常網(wǎng)絡流量，而不是異常流量。

為了管理數(shù)據(jù)中心的風險，組織可以擁有彈性的外圍防御以及檢查南北和東西向流量的安全程序。數(shù)據(jù)中心風險因素包括拒絕服務攻擊，這些攻擊以南北向流量轟炸數(shù)據(jù)中心，使基礎設施不堪重負，使數(shù)據(jù)不可用。

通常，組織應始終遵循安全基礎知識。這意味著始終加密數(shù)據(jù)，控制對數(shù)據(jù)和網(wǎng)絡的訪問，全面了解 IT 環(huán)境中的活動，并利用自動化來跟上資源擴展和活動速度。

創(chuàng)建風險評估流程和安全框架

風險評估過程包括識別組織的資產(chǎn)、潛在風險、違規(guī)的影響以及每個潛在風險發(fā)生的可能性。

資產(chǎn)可以包括數(shù)據(jù)、硬件設備、應用程序、一般軟件和員工。一旦確定了資產(chǎn)，組織就可以更好地了解其IT環(huán)境。

量化違規(guī)行為的影響必須在財務影響以及公司和品牌聲譽損失方面進行。一旦知道這一點，組織就可以更好地了解如果發(fā)生違規(guī)行為，將面臨什么風險。

組織可以采取的緩解這些風險的一般步驟包括：

• 查找并遵循安全框架。
• 制定并完成風險評估流程。
• 確定要防范哪些安全風險的優(yōu)先級。
• 制定事件響應計劃l持續(xù)監(jiān)控環(huán)境。
• 在發(fā)生違規(guī)行為時執(zhí)行事件響應計劃。

根據(jù) SOC 2 安全標準，組織用于保護其資產(chǎn)的安全框架可能取決于適用的行業(yè)標準和法規(guī)。例如，零售商可能主要遵循支付卡行業(yè)數(shù)據(jù)安全標準 （PCI DSS） 框架。

一旦組織符合PCI DSS等框架，它就知道它至少具有足夠的基線安全級別，用于存儲和傳輸?shù)臄?shù)據(jù)類型。

框架的一些典型特征包括一組必須滿足的原則，例如數(shù)據(jù)完整性;對高級安全設備的要求;或組織可以針對不同方案滿足的不同安全級別。重要的是要記住，IT安全沒有一個適合所有解決方案，這是美國國家標準與技術研究院（NIST）改善關鍵基礎設施網(wǎng)絡安全框架中強調(diào)的。

對于上面的其他要點，組織可以根據(jù)其選擇遵循的安全框架的指導來制定后續(xù)步驟。首先，組織應該意識到它沒有無限的資源來保護自己在任何時候免受所有威脅。因此，需要根據(jù)安全風險對組織可能造成的潛在損害的可能性和潛在損害量來確定安全風險的優(yōu)先級。

一個組織可以決定它應該投資哪些安全工具和計劃，一旦它確定了哪些風險的優(yōu)先級，就值得關注。然后，組織決定采用的工具和計劃可用于監(jiān)視環(huán)境、向安全管理員發(fā)出攻擊警報以及響應攻擊。

技術基金會

基礎技術層使組織能夠監(jiān)控安全威脅、攻擊和成功違規(guī)并收到警報。確保強大的安全工具集合是 IT 風險管理的關鍵部分此基礎層中包含的安全工具包括：

• 網(wǎng)絡訪問控制。
• 訪問控制表和身份訪問管理。
• 監(jiān)控軟件。
• 防火墻。
• 防病毒和反惡意軟件程序。
• 多重身份驗證。
• 加密。
• 根信任。

有了所有這些硬件和軟件工具來保護IT環(huán)境，建議組織投資一個儀表板，以可消化的形式在一個地方顯示來自這些不同系統(tǒng)的所有信息。這很重要，因為可能存在很多噪音或通知，安全管理員必須對其進行解析并確定優(yōu)先級。

人的作用

安全計劃和其他技術解決方案只是更大的安全風險管理方法的基礎，人在IT安全風險管理中重要性很高。

人推動安全技術，技術并不能單獨解決問題，需要執(zhí)行需要管理。從本質(zhì)上講，人們需要將技術置于可以有效完成工作的位置。但是，人們（即使是那些沒有惡意的人）本身也是安全風險，也是首先需要安全工具的原因。

例如，人們通常密碼意識很差。在網(wǎng)絡安全提供商HYPR的研究中，72%的人報告將工作密碼和個人密碼混用。

這就是為什么組織的所有成員在IT安全風險管理中都扮演著重要的角色。他們都需要安全實踐方面的培訓，工作文化必須以安全為中心。這將降低成功進行網(wǎng)絡釣魚和社交工程攻擊的風險。

需要防范的主要風險

組織最寶貴的數(shù)字資源是其數(shù)據(jù)。數(shù)據(jù)的盜竊或其他丟失是大多數(shù)組織最關心的問題。根據(jù)Verizon的數(shù)據(jù)泄露調(diào)查報告，數(shù)據(jù)泄露通常涉及黑客攻擊，社交攻擊或惡意軟件。

還有一些趨勢會增加安全風險，例如向云的轉(zhuǎn)變，安全專業(yè)人員的短缺，IT環(huán)境的復雜性日益增加，以及使用將任務（如存儲信用卡信息）外包給第四方的第三方。

向云的轉(zhuǎn)變意味著組織對數(shù)據(jù)安全性的控制較少，并且必須信任云提供商通過虛擬安全措施來保護底層基礎架構(gòu)。IT環(huán)境日益復雜，這意味著組織更難跟蹤敏感數(shù)據(jù)的位置、訪問者以及如何應對來自環(huán)境中活動的大量噪音。

最后，一個組織可能正在盡一切努力保護其數(shù)據(jù)，但是如果它使用第三方提供服務，并且該第三方將其責任外包給沒有盡最大努力保護數(shù)據(jù)的第四方，那么這會給整個系統(tǒng)帶來一個重大的弱點。

為了準備黑客或其他形式的攻擊對這些可能不安全的系統(tǒng)的攻擊，組織應該找到最關鍵和最敏感的信息所在的位置，制定一個策略來首先保護這些信息，并使用安全基礎知識來保護它。

IT 安全風險管理關鍵要點總結(jié)：

• 組織需要找到一個適用于其行業(yè)的安全框架，并將其用作保護 IT 環(huán)境的指南。
• 安全技術（如防火墻）是監(jiān)視環(huán)境和響應安全事件的基準。
• 與技術相比，人們在IT安全風險管理中扮演著更重要的角色。
• 組織應依靠安全基礎知識和安全框架的指導來為重大安全風險做好準備。