文章
数字化时代下的网络安全战略框架系列之二
如何发现要保护的皇冠明珠(核心数字化资产)
数字化时代下的网络安全挑战
面对来势汹汹的数字化变革,企业越来越依赖复杂的技术生态系统来实现多个重要目标,以新的方式与客户和第三方进行交互,使用数据来改善决策,并提高覆盖面和盈利能力。
随着网络攻击变得日益频繁和严重,董事会成员和高管们都认识到基于信息技术和数字化的行为活动也带来了一定的网络风险。我们的服务能帮助企业建立战略方针和相应架构,并开发有效的网络风险报告机制。 这些服务支持制定由高管主导的网络风险计划,将客户的风险偏好纳入考虑范围,帮助企业识别和了解他们主要的业务风险和网络风险。
CSF: 一个全面的网络安全战略框架
德勤网络安全战略框架(CSF)是一种以业务为导向、基于威胁管理网络安全战略的平台。 CSF是德勤在网络安全战略方面进行了四年多的研究和投资的结果,并且采用了成熟的方法来确定企业网络安全的当前能力和目标成熟度,并提出了改进企业内部和整体网络安全弹性的建议。
我们会利用网络安全战略框架平台,通过动态工作流程和实施我们的方法来支持我们的评估。我们的平台使我们能够捕捉,分析和管理关于组织业务环境,业务模式和策略,威胁行为者和技术以及组织网络能力的当前和目标成熟度的信息。我们的平台还使我们能够定义具体的建议,项目和路线图,以提高特定功能的成熟度,并提高组织的整体网络弹性。
如何发现要保护的皇冠明珠
对于企业而言,需要识别哪些是支持我们的企业战略和商业模式的关键业务资产?都有哪些场景对这些资产存在威胁?哪些威胁源和技术会对我们的重要资产产生负面影响?我们的每件重要资产在特定威胁下的暴露程度如何?
CSF从业人员利用经过验证的方法来了解您的业务概况,并明确企业内的重要资产。使用包含威胁行为和技术的综合列表的德勤威胁模型,根据暴露情况识别并记录对组织及其重要资产的威胁。这样的工作具体来说,包括以下两个阶段的分析活动:
业务分析阶段
了解企业目前的使命,战略和商业模式,以确定组织的重要资产,具体包括
- 了解业务背景,业务模式和战略
- 确定重要资产,并建立保密性、完整性和可用性要求
- 确定组织风险偏好/容忍度
此阶段主要成果是获得重要资产的分布以及其保密性、完整性和可用性综合分析结果。
威胁评估阶段
了解重要资产之后,识别其网络能力最容易受到的威胁,包括:
- 识别相关的威胁行为者和常用攻击手段和技术
- 根据威胁行为者,使用的技术和目标(重要资产)的组合来确定具体的威胁情景
此阶段主要成果是获得具有固有风险评分的威胁场景列表。
案例分析
某企业需要了解企业当前的安全能力是否能为业务提供足够的保障,以及高额的网络安全投资是否真的在企业日常运作时发挥高效的防护作用,高管们对于网络安全能力的评估和投资变现能力有着很大的困惑:什么样的方法论可以全面识别企业重要且敏感的信息资产,并且同时能考虑企业的风险偏好,根据常见威胁攻击者类型和常用手段,提供精确的数据收集与分析功能,使得网络安全工作有了可识别性和针对性,企业管理层可以随时知晓和掌握我们的网络安全有能力保护企业的每一项重要资产。传统的评估项目可能需要很大的人力物力,当下的业务和技术每天都在产生着大量的数据,手工处理避免不了计算及统计失误,并且最终的结果可能需要阅读大量的文字,而不是直观的、可视化数据图形。
这时,CIO想起了前段时间公司举行的关于“数字化网络安全战略框架”宣讲会,其中介绍的CSF网络安全战略框架正好可以解决正在面临的困境:CSF平台有着成熟的资产识别和评估模型,使企业全面了解目前资产管理的风险漏洞。另外后续的系统自动化评分功能,也正好解决了要处理大量数据的问题,大大提高了工作效率与准确度。
比如:可以利用报表试图,综合性地得出哪些攻击者类型利用哪类攻击手段会造成对企业的威胁,以及其影响程度。
甚至可以得到针对企业内不同的信息资产对象,受到外部不同攻击者和攻击手段下所能造成的风险影响视图。
更重要的是,CSF平台还提供了网络安全风险复检功能:在得到当年信息资产的威胁评估后,客户可以就风险较大的领域进行改进,并在来年,对于相同的领域重新检测分析,两次评估进行对比,可以得出企业网络安全风险的发展变化,以验证企业在网络安全领域取得显著进步,使得管理层对网络安全建设工作更有信心。
结语
数字化时代下,每个企业都在享受数字化技术给企业带来的便利,但与此同时,企业也必须要预见到数字化进程下潜在的网络安全固有威胁。为了在激烈的竞争环境下存活,每家公司都应该找到目前形势下,企业最重要敏感、最需要保护的信息资产是什么,针对这些资产的载体和在企业内外的流转途径是什么,有什么样的威胁和常用攻击手段,会产生什么样的风险,该如何防护,都是企业面临并要解答的关键问题,要全面、可靠地保护好企业核心信息资产是非常困难的。
CSF可以为企业提供最好的并且可定制化的服务,以满足其特定需求。它也是一种独特的解决方案,可以满足每个内部或外部投资利益相关方的需求。
数字化时代下的网络安全战略框架系列相关文章: