M管理

网络安全风险管理:框架、计划和服务

网络安全风险管理
深信服科技
目录 隐藏
  1. 什么是网络安全风险管理?
  2. 管理网络安全风险有哪些好处?
  3. 网络安全风险管理框架
    1. NIST 网络安全框架
    2. ISO 27002 和 27001 标准
    3. NERC-CIP
  4. 网络安全风险管理薪酬
    1. 网络安全工程师的薪水
    2. 应用程序安全工程师的薪水
    3. 网络安全分析师的薪水
  5. 什么时候应该聘请信息安全经理?
  6. 网络安全风险管理计划
    1. #1。 按优先级对网络安全风险进行排序
    2. #2。 确定网络安全的风险预防和缓解策略
  7. 网络安全服务
  8. 结论
    1. 相关文章
    2. 参考资料

确保网络安全风险管理持续进行至关重要。 在初始漏洞风险评估确定了组织的所有数字资产并检查了现有安全措施后,随着公司和外部威胁形势的发展,需要持续进行网络安全风险管理。 因此,本文涵盖了您需要了解的有关网络安全风险管理的所有信息。

什么是网络安全风险管理?

网络安全风险管理是在您的组织中发现、评估、评估和响应网络安全威胁的持续过程。

网络安全风险管理是组织中每个人的责任,而不仅仅是安全人员。 员工和业务部门领导经常将风险管理视为一项单独的业务活动。 遗憾的是,他们缺乏应对风险所需的完整和一致的观点。

每个功能都有自己的目标,常常伴随着对他人缺乏理解和同理心。 IT 开创了新的想法和技术,不断将安全性和合规性视为增长的不便障碍。 安全意识到安全,但往往与立法和不断发展的技术脱节。 销售人员希望让客户满意,他们正在寻找一种实用的解决方案来执行安全检查。 合规性试图通过严格遵守法规来让每个人都远离麻烦,但它经常在没有对安全性有透彻了解的情况下运作。

所有功能都必须以明确定义的角色和职责运作,以有效管理网络安全风险。 孤立的部门在杂乱无章的困惑中摸索的日子早已一去不复返了。 当今的风险形势需要一种有凝聚力、协调、纪律和一致的风险管理方法。 以下是所有公司必须记住的一些关键风险管理行动组成部分:

  • 制定强有力的政策和工具来评估供应商风险
  • 识别新出现的风险,例如具有业务影响的新规则
  • 识别出内部缺陷,例如缺少双因素身份验证。
  • 可能通过培训计划、新法规和内部控制来降低 IT 风险
  • 整体安全态势测试
  • 准备监管审计或安抚新客户的供应商风险管理和安全文档

管理网络安全风险有哪些好处?

企业可以通过实施网络安全风险管理来防止其日常运营将网络安全视为事后诸葛亮。 适当的网络安全风险管理计划可确保定期遵守协议和政策,并确保安全性保持最新。

通过网络安全风险管理持续监控、识别和缓解以下危险:

  • 网络钓鱼检测, 
  • VIP和高管保护, 
  • 品牌保护, 
  • 预防诈骗,
  • 监控敏感数据泄露, 
  • 暗网上的活动,
  • 自动威胁缓解, 
  • 监控泄露的凭据,
  • 识别恶意移动应用程序, 
  • 和供应链风险只是几个例子。

网络安全风险管理框架

对于跨国家和企业的安全领导者,网络安全框架提供了一种通用语言和一套标准,使他们能够理解自己及其供应商的安全状况。 框架使指定组织评估、管理和降低网络安全风险的步骤变得更加简单。

网络安全框架可以作为一个重要的基准。

将网络安全风险管理纳入安全绩效管理和第三方风险管理策略的基础是由网络安全框架提供的,这通常是必需的。 通过使用框架作为您的指南针,您将获得对最大安全风险的重要洞察,并且您会很自在地告诉组织的其他成员您致力于卓越的安全性。

NIST 网络安全框架

前总统的行政命令,改善关键基础设施网络安全,呼吁加强公共和私营部门之间的合作,以识别、评估和管理网络风险。 作为回应,NIST 网络安全框架应运而生。 NIST 已成为评估网络安全成熟度、识别安全漏洞和遵守网络安全法规的黄金标准,尽管合规性是可选的。

ISO 27002 和 27001 标准

由国际标准化组织 (ISO) 创建的 ISO 27001 和 ISO 27002 认证被视为在内部和与外部各方验证网络安全计划的全球基准。 通过 ISO 认证,公司可以向董事会、客户、合作伙伴和股东证明他们正在做正确的事情来管理网络风险。 同样,如果供应商通过了 ISO 27001/2 认证,则这是一个很好的指标(尽管不是唯一指标),表明他们拥有成熟的网络安全实践和控制措施。

NERC-CIP

北美电力可靠性公司 – 关键基础设施保护 (NERC CIP) 是一套网络安全标准,旨在帮助公用事业和电力部门减少网络安全,旨在缓解对美国关键基础设施的攻击增加和第三方风险不断增加的情况风险并确保大容量电力系统的可靠性。

该框架要求受影响的组织识别和减轻其供应链中的网络风险。 NERC-SIP 中概述了多项控制措施,例如对系统和关键资产进行分类、培训员工、事件响应和规划、关键网络资产的恢复计划、漏洞评估等。 详细了解行之有效的 NERC-CIP 合规策略。

网络安全风险管理薪酬

截至 102,856 年 19 月 2022 日,美国网络风险管理人员的平均年薪为 XNUMX 美元。

假设您需要一个每小时花费大约 49.45 美元的快速工资计算器。 这相当于每周 1,978 美元或每月 8,571 美元。

虽然 ZipRecruiter 的年收入高达 167,000 美元,低至 29,500 美元,但美国大部分网络风险管理人员的薪水现在从 74,500 美元(第 25 个百分位)到 126,500 美元(第 75 个百分位)不等,其中收入最高的人(第 90 个百分位)的薪水为 156,000 美元. 网络风险管理的平均工资范围相差很大(最高 52,000 美元),这意味着根据技能水平、地点和经验年限,可能会有很多晋升和更高收入的前景。

根据最近的 ZipRecruiter 职位发布,佐治亚州亚特兰大及周边地区的网络风险管理工作市场很活跃。 您所在地区的网络风险管理人员的平均年薪为 101,973 美元,比全国平均年薪 883 美元低 1 美元 (102,856%)。 格鲁吉亚在网络风险管理薪酬方面在 49 个州中排名第 50 位。

ZipRecruiter 会定期检查其在美国本地发布的数百万个活跃职位的数据库,以生成最准确的网络风险管理职位年薪范围。

这个职位对于通过发现信息系统中的任何潜在弱点来防止安全灾难至关重要。 这些专家评估现有的安全措施并防止对您企业的计算机、网络和数据的潜在攻击。

网络安全工程师的薪水

网络安全工程师的平均工资从 120,000 美元到 210,000 美元不等,网络安全工程师的职位也是安全领域薪水最高的职位之一。

公司聘请这些专家是因为他们的技能组合和经验,因为他们主要负责各种安全工程师任务,例如设计、开发和实施安全网络解决方案以防止复杂的网络攻击、黑客攻击和持续威胁。

应用程序安全工程师的薪水

应用程序安全工程师是收入第三高的网络安全专业人员,年薪从 130,000 美元到 200,000 美元不等。

如果您的企业使用由第三方(例如 AWS 或微软的 Azure)提供或托管的软件解决方案,或者即使您是从头开发解决方案,那么雇用应用程序安全工程师也是必不可少的。

这些专家将保护您的员工使用的所有业务应用程序和软件,并确保所有隐私和合规性要求都纳入软件并得到遵守。

网络安全分析师的薪水

这个网络安全职位的平均工资在 95,000 美元到 160,000 美元之间,非常值得。

这些安全专家协助制定、组织和实施安全措施以保护您的基础设施。

他们专门配备了在黑客有机会之前识别漏洞的能力。 他们拥有与渗透测试人员和信息安全经理合作的知识和经验,可以减轻和避免可能严重损害您的业务的网络攻击。

什么时候应该聘请信息安全经理?

您是否希望保护客户数据并避免与您的私人信息泄露或被盗相关的成本和处罚? 帮自己一个忙,在你的生意受到影响之前填补这个职位。 你被迫为未能保护客户数据而被处以昂贵的罚款,例如优步,它因违反要求数据泄露通知的州法律而被罚款 148 亿美元。

网络安全风险管理计划

根据您的组织要求和目标,选择最佳方法,可以是定量的、定性的或两者的结合。

定量方法可以让您深入了解特定风险带来的财务影响,而定量方法可以让您了解组织在生产力方面的影响。

根据 NIST 特别出版物 800-30,可以在战术或战略层面进行风险评估。

清点所有资产并根据优先级、重要性和所评估信息的类型对其进行组织是安全风险评估过程中的第一步,也是最重要的一步。

获得所有相关方的支持,并决定如何对信息资产进行分类。

#1。 按优先级对网络安全风险进行排序

确定哪些数据可以访问、谁可以访问以及如何破坏这些数据。

随着 IT 领域的扩大和组织采用更新的技术和不同的业务模式,例如共享基础设施或在现有软件堆栈上运行的第三方服务,数据漏洞可能存在于最意想不到的领域。

除了不断变化的格局之外,许多合规政策和监管实践还强调了识别可能出现在基础设施网络中的每一个可能的安全事件或数据泄露的重要性。

一旦您识别并分类了信息资产,就可以识别潜在的威胁渠道。

当我们应对动态威胁形势时,重要的是我们要让自己了解最新的触发因素和控制措施,并根据不断变化的需求制定不同的策略来应对这些威胁。

数据安全事件包括外部攻击、恶意用户和软件、因疏忽、自然灾害和内部威胁而引入的漏洞。

安全漏洞会导致收入损失、声誉受损、法律后果、业务连续性中断以及一长串其他负面影响。

通过扫描、渗透测试和审计控制,发现网络漏洞。

漏洞存在于网络或应用程序中,是由于疏忽和缺乏注意到系统缺陷的敏捷性而未被注意到的薄弱环节。

随着越来越多的公司在云上托管和运行他们的应用程序,引入此类薄弱环节的可能性很高。

针对此类漏洞的威胁有外部的、内部的、结构化的和非结构化的。

#2。 确定网络安全的风险预防和缓解策略

在评估信息资产并识别与这些资产相关的潜在安全威胁之后,是时候开发机制来避免您可能面临的威胁了。

部署安全监控工具

部署所有必要的基础设施和安全解决方案,为您自动监控。 这是管理网络安全的重要步骤。

网络安全服务

这些服务单独或联合提供。

  • 网络风险管理运营服务

识别和管理相关的网络风险,以实现基于风险的有效决策。

  • 网络安全计划评估

评估您的安全计划以确定投资的优先级、提高弹性并降低风险。

  • 皇冠珠宝安全评估

识别、保护和保护您最重要的业务资产免受有害损害。

  • 网络安全尽职调查服务

意识到并减轻与不受直接控制的业务交易、关系和系统相关的继承网络风险。

  • 威胁建模安全服务

通过有效的动态系统分析发现未识别的业务和安全风险。

  • 威胁与漏洞管理

使用经过验证的基于风险的安全策略来改进和稳定您的漏洞管理流程。

结论

如今,管理整个公司的风险比以往任何时候都更加困难。 现代安全格局经常变化,企业面临第三方供应商爆炸式增长、新技术和不断扩大的规则雷区的挑战。 COVID-19 的爆发和衰退促使安全和合规团队在减少资源的同时承担更多责任。

在此背景下,贵公司必须实施风险管理流程。 通过识别和评估来确定您的风险,然后制定缓解策略并持续检查您的内部控制以确保它们与风险保持一致。 请记住,任何风险管理项目都应始终优先考虑重新评估、新测试和持续缓解。

最后,现代风险管理的追求没有喘息的机会。 在一个前所未有的变革时期,风险和脆弱性每时每刻都在上升,这似乎不太公平。 另一方面,聪明和成功的公司将在分析、协作/通信/问题管理工具和第三方风险管理框架的支持下,继续在管理 IT 风险和维护企业安全的斗争中保持自己的地位。

参考资料

Peace 是一位高级内容作家、策略师和编辑,她将自己的才能贡献给 BusinessYield 等组织。她的背景是内容创作和思想领导,拥有 B2B SaaS、专业营销机构和娱乐领域的行业专业知识。总部位于加利福尼亚州安大略省米西索加,拥有滑铁卢大学数字通信和新闻创新硕士学位。当她工作不辛苦时,她喜欢旅行、阅读和吃碳水化合物。 她喜欢根据自己丰富的财务和营销经验撰写商业文章。

发表评论

您的电邮地址不会被公开。 必填带 *

—上一篇文章

如何保持 2023 年的业务决议:详细指南

下一篇文章—

成为统计学家的理由

你也许也喜欢