与此相反,安全团队可以建立明智的风险管理战略,使有限的资源可以集中于应对企业面临的最大威胁。识别风险并确定风险的等级,是采取合理有效措施的关键所在。McAfee 风险管理高级副总裁 George Kurtz 认为,任何公司都不会有足够多的财力和人力用于完全消除其与 IT 相关的潜在风险。因此,将所面临的各种风险量化,然后据此确定安全投资的优先顺序就势所必然。
为了量化风险并确定补救措施的优先顺序,Kurtz提出了一个模型,该模型从三个方面测量风险:资产价值、资产易受攻击程度以及各种现实威胁。
资产价值:每分钟需处理价值数千美元交易的服务器显然要比客户服务代表的桌面机更为重要。因此,制定降低风险的明智战略需要清楚了解整个企业中各类 IT 资产所代表的企业价值。
资产易受攻击程度:除具有不同的企业价值外,IT 资产存在其固有的不同程度的软肋。提供公共网页的系统比起根本就不连接到 Internet 的系统来,肯定更容易受到攻击。锁在配线橱柜中的交换机要比距离公司安全外围数千英里远的膝上电脑更安全。
现实威胁:安全团队还必须清楚了解任何现有资产所面临的各种现实威胁。举例来说,商业上广泛使用的操作系统比旧式系统所受到的攻击会更多。因此,虽然运行在旧式系统上的旧应用程序可能对公司具有很高的价值,但它们受威胁的可能性会更小一些,因此对公司来说,它们所面临的风险可能要比运行在 Windows 或 Linux 上的应用程序所面临的风险要小很多。
把这三个因素结合起来考虑,安全团队就能准确了解企业最大的威胁存在于何处,并据此确定风险缓解行动的优先顺序。风险可以通过综合考虑资产的企业价值、其固有的易受攻击程度以及它实际面临的各种威胁的强度计算出来。
除了解具体的风险等级外,安全团队还可以拓宽解决 IT 相关风险的视角,以便显著增强其措施的有效性。Kurtz 提出了四种可能的风险管理战略:风险减轻、风险接受、风险转移和风险回避。
风险减轻:这通常是人们碰到风险时头脑中的第一反应。它包括安全团队针对威胁所采取的各种应对措施,如防火墙、入侵检测和防病毒软件。
风险接受:如果解决风险的成本大于风险本身,或者解决该风险将使资源无法用来解决更为严重的风险,合理的行动可能就是接受该风险。
风险转移:在某些情况下,当将风险转移给第三方(如,保险公司)比将有限的资源用于可能并不能产生明显效果的风险减轻行动时,采取前一种方式是更为审慎的选择。
风险回避:有时还会碰到这样一些情况,不仅风险的等级很高,而且解决该风险的成本也达到了无法接受的地步。在这种情况下,最好的办法是完全回避风险,方式可以是撤掉会带来这样风险的系统,或者不将其部署在最重要的位置。
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
