你的信息安全投资是否物有所值?

我们都知道,恶意软件和自动化攻击者肆意横行让当今互联网环境变成一个很危险的地方。企业要确定专门攻击自己的网 络犯罪并不是易事,而信息安全风险评估解决方案就可以解决这个问题。  

大多数安全企业对于信息安全的前景都很悲观。然而,从根本上来看,安全其实只不过是一个业务功能,明确地说,安全 是一种衡量风险和减轻风险的业务功能。信息安全背后的主要推动力就是对业务风险的管理,而无论这种风险是否与财务相关,企业都会试图减少内部的漏洞来控制 对企业声誉以及客户的威胁。

对于衡量和评估信息安全风险存在很多种不同的方法,但其实根本的公式是相对简单的,只有为数不多的几个变量。其中 最重要的变量是数据泄漏对整个财务的影响,根据公司规模、行业和客户群的不同,计算方法也有所不同,在计算整体影响时也应该考虑其他因素,包括响应成本、 通知成本、对声誉的破坏以及罚款等。此外,数据泄漏的影响必须在实际概论与泄露的可能性间进行权衡。

最重要的是,了解数据泄漏对你的企业造成的潜在财务损失,因为只有这样,企业才能评估风险缓解技术,并确保企业的 信息投资确实物有所值。每年花费1000美元来保护价值500美元的画是没有意义的,但是如果你首先不清楚你拥有的画的价值,那么也就是这样的结果。事实 证明,在信息安全投资方面,这是很常见的现象,因为在考虑企业的信息安全问题时,整体风险、影响和成本之前往往没有得到合理处理。

各种评估

对于风险和成本的问题,信息安全风险评估解决方案可以很好地解决这个问题。但是,由于不存在标准,现在有很多不同 的方法用于执行安全风险评估,并且人们总是将安全风险或者风险评估等同于“安全评估”、“风险评估”、“渗透测试”和“漏洞评估”,而实际上,它们是不同 的。

从较高的水平来看,信息安全风险评估应该对事件发生的可能性以及事件发生造成的损失幅度进行分析。风险评估应该估 测业务影响、资产评估和资产危险程度,并且能够根据这些信息作出明智的决定。

另一方面,信息安全评估、漏洞评估或者渗透测试主要是确定和分析相关攻击向量和通过对特定类型的威胁组群或者恶意 用户的描述来确定目标环境内的漏洞。

这些评估得到的信息在安全风险评估中发挥着很大的作用,但是实际上这些评估方法并不能评估真正的风险,但它们在整 体风险管理项目中发挥着关键作用,能够为风险评估提供可操作的数据。

没有灵丹妙药

另一种区分IT风险评估和漏洞评估的方法在于,风险评估将资产和对环境的潜在威胁进行了优先排序,以帮助决策层作 出明智的安全投资。而对环境的漏洞评估或者测试则是确保对环境控制的有效性达到企业的要求,这在确定安全投资物有所值方面也发挥了关键作用。

当我们试图对任何安全投资计算成本/效益时,“定量风险评估”似乎是大家都在寻找的零担妙有,一般来看,定量因素 需要等同于美元或者人民币等。

虽然这种评估并不存在,我们还是能够测量定性的价值,其中可以包括“高”、“中等”或者“低”风险或者危险程度定 义,并设立标准将这些资产分类。然后,根据这些定性价值分配资产代表的财务意义就能够在减小控制、技术或者进程的决策方面发挥作用。只要确定了定量价值, 你就可以开始衡量成本与效益的投资比例以确保每项新的安全产品、工具或者进程控制的投资都是合理的。

两者综合考虑,并且实事求是地评估,企业资产和风险的价值和发现会让高层管理大开眼界。一旦完成风险评估后,下一 步就是进行差距分析以确定企业哪里容易暴露信息或者缺乏足够的控制。由此,企业就能制定一个框架和政策来作为项目的基础,然后对项目进行审计、缺陷补救, 最终实现自动化。

虽然很容易地就制定了这些步骤,但实际执行却是很大的调整。大多数企业都没有富有部署基于风险的信息安全项目经验 的内部人员,因此大多数企业都是寻求外部信息安全咨询公司的协助。

虽然建筑安全的信息环境的道路有时候似乎很崎岖,但确实存在这样的道路,而最佳开始方式就是彻底了解停滞不前带来 的风险。