McAfee敦促业务拥抱基于风险的安全性

在数字安全世界中，麦克菲副总裁兼首席技术策略师Candace Worley并不总是可以安全的一切，告诉主管电力网络安全峰会拉斯维加斯。

“有时候，必须放弃对手的事情，但是你如何为它做出所有差异，”她说。

Worley表示，大多数人经常首先通过竞争战略游戏了解风险，并且通常在数字世界中通常存在四种主要获奖策略。

“这些是：捍卫自己的领土，降低敌人攻击该领土的能力，最大限度地减少您的边界，并在您的地区创建一个缓冲区。

“在确保我们的数字基础架构中，我们通常会确保我们保护我们所拥有的，试图防止人们将其带走并尽量减少攻击表面，”她说。

然而，Worley表示，这往往意味着组织将他们的资源集中在最重要的资产，这对组织的长期可持续性至关重要。

“而你这样做知道这样做，你有时会给敌人留下一些东西;她说，你必须交换一些东西，以便对你的长期目标来说至关重要，“她说。

然而，信息安全专业人员发现这是一个难以做到的事情，因为他们想保护整个基础设施。

她说，这个问题是，在试图对所有内容传播有限的资源时，组织通常最终保护较少或留下一些未受保护的东西。

这意味着在有三个核心业务的银行业情景中：金融服务，金融账户和信用卡服务以及两种辅助服务：金融服务和旅游保险服务培训，本组织将不得不决定保护三个核心业务，但不是辅助服务，知道它们会面临违规或损坏的风险。

“接受这种风险是网络防御者有点不同，因为历史上是一个想要确保每个人在遭遇中幸存的第一个响应者，但我们看到的攻击太复杂，我们的基础设施对我们来说太复杂了能够做到这一点，“Worley说。

当谈到最小化攻击面或减少组织可以渗透的方式的数量时，她说，今天的现代数字基础设施的现实，例如，更困难，因为它遍布整个地方。

“您可以拥有用户设备，合作伙伴网站，云存储提供商，亚马逊，Azure以及基于云的基础架构作为服务提供商，这使得网络防御者更难以完成工作。”

因此，瓦利表示，了解组织数据资产的分布，并将这些资产的关键性与组织的风险偏好相关，是网络风险事件响应计划中的“必要和批判”的元素。

然而，她说计算风险只是主要方程的一部分。“您也必须了解如何谈论风险语言，这是C级高管和董事会的语言，不一定是ROI语言[投资回报]。

“这意味着他们可能愿意采取较低的投资回报率，如果这意味着从公司整体的财务角度来减少整体风险简介，”劳斯利说，补充说这些类型的谈话需要不同网络事件规划方法。

“它需要一种植根于理解您的组织可能会看到的攻击的方法，可能是可能的攻击目标是什么，您的风险耐受性是对这些攻击以及每个目标的风险，您愿意的所有目标她说，全面保护所有费用，以及如何如何为网络投资中的决定进行颜色，“她说。

根据Worley的说法，基于风险的计划很重要，因为它提升了关于效率，效力和投资回报率的运营讨论的对话，以战略讨论如何减少$ Y减少总体网络风险。

“当您与C级执行董事讨论时，能够在风险的背景下讨论，而不是运营可能意味着获取预算的差异，您要征用并必须携带现有预算并进一步传播它，“ 她说。

为了发展到风险的语言，Worley表示网络防守者需要考虑各种各样的事情，包括了解各种网络攻击可能对关键业务流程，数据丢失，依从性影响以及声誉造成损害的可能影响。

“这为您提供了一个窗口进入将安全控件集中在哪里，并潜在地在哪里制定未来的安全投资，”她说，在verizon数据漏洞事件报告提供了可以的verizon数据漏洞事件报告的详细信息，可以提供关于可以的verizon数据漏洞事件的详细信息。用于告知风险事件规划。

Worley说，下一步是为组织定义风险公差分数，这是关于组织如何通过风险镜头观看不同类型的网络事件。

她说，哪些组织将抵御所有费用的组织将抵御所有费用，这些组织被归类为低风险的耐受性，这些领域可能会投资更多，因为它们对业务运营至关重要。

“例如，网站污损可能是高风险的容忍度，而且组织可以容忍其失去IP丢失或数据丢失，”她说。

理解事件的风险耐受性，瓦利表示，在提出权衡决策和安全投资决策方面提供了指导方针。

接下来，组织需要在可能性和后果方面映射事件类型。例如，在IP盗窃方面，我可以大量投入努力减少IP盗窃的后果，但如果IP出来，则会产生后果。因此，虽然我可能能够减少知识产权盗窃的后果，但我可能会花费大部分投资来缓解盗窃，“她说。

最后，一个组织必须计算每种事件的潜在成本，这是伍德利表示，大多数组织都发现最艰难的一步。

她说，一种有用的方法是Ponemon Institute所使用的方法，它看出了检测，升级，通知和响应以及与客户支持相关的法律，调查和行政费用，客户叛逃，机会损失，信誉管理和成本如信息热线和信用监测订阅。

通过这种方式，Worley表示，组织可以评估实施特定安全控制的益处。“相关网络风险在确定未来投资的地方有用，”她说。

但是，建设资产优先级和风险耐受性的计划只是全面的网络安全战略的一部分。“这是一项关键的基础元素，将随着时间的推移为您的投资决策进行颜色，”Worley说。

在结束时，她说网络攻击和数据泄露是不可避免的。“如果我们要解决这个问题，我们必须以不同的方式攻击这些攻击和违反这些攻击。

“我们必须演变为使用基于风险的方法，专注于投资以保护最关键的牺牲最关键的牺牲品，而我们的众所周期界的安全性必须是分散和作为领土的可持续，”她说。