作者:迈克菲全球首席技术官 Mike Fey
我们曾撰文讨论过负责企业安全的高管应承担哪些责任,如何识别威胁警告信号并为抵御网络攻击做好准备。但在这方面,企业高管和安全团队一直未能以一种浅显易懂的语言向管理人员进行阐述。因此迈克菲经常会向我们的客户普及如何通过开放沟通渠道来影响企业安全的知识。
在对企业安全进行审核时,我们经常会发现信息沟通严重脱节的情况。典型的安全团队会对企业抵御一般威胁或攻击的能力进行评估,并制定相应的计划以填补这些漏洞。但最终实施的计划通常会漏掉一个关键因素:清晰了解需要保护的公司资产。
为保证安全战略与业务目标保持一致,我们制作了一个小练习,采用非技术方式揭示业务风险,以便将业务风险与安全计划无缝契合。我们称之为“3 R”计划: 资产、危害与法规 (Riches, Ruins,Regulations),旨在帮助企业高管和安全专家采用通俗的语言进行表述,并找到与业务核心密切相关的有价值资产。通常,只有业务部门的员工才能清楚地了解这些资产以及资产间的关联,但这些人员并未囊括在安全团队中。由于信息沟通不畅,在这些系统中部署的安全控件通常无法与这些资产为企业所带来的风险相匹配。
此练习的工作机理非常简单,首先确定3R计划中的资产、危害和法规这三个要素,然后安全团队基于这三点进行分析以确保公司的安全:
资产
哪些资产有偷窃价值?
可以通过哪些途径窃取这些资产?
哪些人最有可能窃取该资产?
在窃取资产后,窃贼会通过什么途径离开?
危害
哪些情况会危害我们的信誉?
如果资产遭窃,会对公司造成哪些直接损失或责任?
如果资产遭窃,会对公司造成哪些间接损失(如危害信誉)?
法规
公司需要遵守哪些合规性规则?
由谁来负责检查合规情况?
由谁来负责根据不同的法规来审核公司的合规情况?
对于违反合规性要求的情况,是否有相应的处罚措施?
此练习主要针对那些具有重要价值的资产,一旦遭窃或受到攻击,将可能会导致重大损失,甚至会因不符合法规要求而遭到处罚。“3 R”计划可帮助负责企业安全的高管清楚地了解企业当前的安全保护状况,这是抵御网络威胁和攻击的第一步。