【安全架构】如何在不降低数字化转型的情况下降低风险

Chinese, Simplified

网络安全是商业界必须处理的关键问题之一,其重要性只会上升。随着技术稳步发展以接管越来越多的业务(和个人)生活方面,雅虎和Experian的违规行为或WannaCry勒索软件攻击等事件迫切需要安全性。每年都有大量公司被黑客入侵。以下是一些最有名的案例,可以给你一个想法。结果?全世界无数人受到影响,网络安全状况不佳的成本很容易在数百万人中流失。


一切都在安全?


当你考虑所有这些时,那么只有一个组织抛出他们在这个问题上得到的一切才有意义。对?好吧,虽然这可能听起来不直观,但答案是否定的。事实上,公司的最终目标不是成为一个难以穿越的数字堡垒,而是为了(为客户创造价值)保持业务。

由于现在公平竞争的变化有多快 - 考虑技术进步,不断变化的监管等等,因此保持业务需求实际上比以往任何时候都难以实现。因此,仅关注业务的一个方面是无关紧要的必然结果。创新,服务交付水平,客户满意度,合规性,企业公民 - 这些只是组织为了获得成功而需要注意的其他事项。

因此,我们认为对于认真对待其网络安全战略的公司来说,最好的办法是以高精度,高影响力的方式运营。这意味着承认一揽子措施通过机会成本,用户不便和彻头彻尾的浪费来做同样多的损害。期望一切都是100%安全是不现实的。在游戏中有一个收益递减规律,确保你无法到达那里,即使你拥有世界上所有的时间和资源,也无论如何你都不会。因此,专门针对关键弱点的刻意行动是最合理的路径 - 这就是为什么高精度,高影响力的思维方式是关键。

准确定位安全漏洞


理解背景

 

为了能够“手术”操作,您首先需要清楚地了解当前的功能。我们的协作业务设计平台HoriZZon及其建模环境Enterprise Studio完美地配备了这一平台。使用我们的套件,用户可以构建其业务和技术环境的准确数字模型,他们可以实施基于功能的规划,并将各种功能链接到应用程序,基础架构或流程,以便对其组织有广泛的了解。可以想象,这可以实现逐个安全的方法,因为它允许将企业风险和安全管理过程嵌入到企业的实际架构和设计过程中。

除了可以让您探索企业所有方面的数字建模功能外,该平台还有助于培养最佳实践遵从性和安全合规性。 HoriZZon支持广泛的安全标准和框架,并提供可靠的内容治理功能。主流标准,如ISO / IEC 27001,NIST 800-53,CSA,Open FAIR,SABSA等,为希望建立稳固的安全和风险管理实践的用户提供结构,指导和适当的指标。实际上,它们为识别,评估和确定安全目标和操作的优先级提供了完美的方法。通过最佳实践和企业(及其生态系统)的清晰的全局视图,您可以最佳地开始安全风险评估。

运行安全评估

因为完美的安全是一个无法实现的目标,所以在这一点上的重点应该放在支付安全资金的最有效方式上。在分析风险,威胁,机会或绩效目标时,基于风险的方法提供了持续连接和解决重叠问题所需的结构。在组织内部开发风险意识文化是成功的企业风险管理计划的重要组成部分。

在BiZZdesign,我们的风险和安全管理方法结合了几个开放标准。如果您想了解更多信息,可以下载我们的如何使用EA白皮书改进网络安全,但现在只需说明评估阶段的主要步骤是:分析漏洞,评估威胁和计算风险。

我们的平台使安全专业人员能够有效地规划,实施和成熟企业内的企业风险管理实践。我们甚至编制了一份在分析阶段证明有用的漏洞和威胁的综合列表。运行风险评估的直接方法是使用公式Risk = Value x Probability,其中较高的风险将需要更多的努力来减轻风险。在此阶段结束时,您应该充分了解企业面临的风险状况。以下是我们如何使用HoriZZon的建模环境Enterprise Studio进行此类分析的示例。

模型的下半部分显示了您要保护的基础架构和资产(“加密支付记录”)。上半部分显示:

  • 两个漏洞(“不安全的传输通道”和“支付数据的弱加密”)
  • 威胁代理人('网络犯罪')
  • 威胁事件('中间人攻击')
  • 此威胁造成的潜在损失事件(“未经授权的付款”)
  • 由此产生的风险(“财务损失”)

RSK management

交通信号灯显示各种参数,例如资产价值,漏洞等级和由此产生的风险等级。所有这些都是相互关联的,我们的风险分析算法会计算结果,即如果您增加资产价值或威胁能力,则会增加风险等级。

制定并实施减轻风险的措施

在上面的评估阶段大纲之后,下一步是提出控制措施并进行部署。通过不受阻碍地了解弱点的位置以及违规的后果,目标是制定有效的措施。我们建议的结构是首先考虑策略,然后定义控制目标,然后创建控制措施,最后实现它们。利用企业架构和/或项目组合管理输出将在此处再次派上用场,因为安全建议可以与基础架构层中的实际易受攻击元素(例如,或重要业务功能)相关联。

作为此阶段的一部分,您应计算安全措施的成本,并将其与其降低的风险进行比较。那钱花得好吗?如果报告明确表明它将带来的好处,管理层必然会更严肃地对待报告。最后一项建议是在个人层面上与决策数据联系起来。例如,您可以指出,如果发生违规或不合规的业务惯例,负责任的管理层将面临个人责任的趋势。欧盟的通用数据保护法规就是一个这样的监管框架,它不仅推动了数据处理器的边界和压力,而且还压制了以前不承担任何责任的数据控制者。通过避免昂贵的一揽子措施并精确地攻击最紧迫的安全问题,一个组织有更好的机会来防范威胁,但从长远来看也是繁荣的。

结论


随着公司发现自己拥有越来越多的客户数据,恶意行为者加倍努力,网络安全比以往任何时候都更加重要。鉴于这些情况,公司很容易采取全面的防御姿态,并在创新上“拉开桥梁”以及有助于持久成功的其他因素。然而,这将是一个战略性的失误。

这是因为通过加强控制和谨慎,您还可以降低灵活性和灵活性,从而降低企业在一个奖励快速适应能力的时代的整体竞争力。我们认为,解决方案是明确了解企业的​​风险状况,然后在风险最大的领域开发和部署缓解控制措施。能够以数字方式实现企业,然后在实时模型之上运行风险评估,提供了很大的改进机会。

要了解有关网络安全以及企业架构如何在制定可靠的网络安全战略中发挥作用的更多信息,请下载我们的如何使用EA白皮书改进网络安全。

 

讨论: 加入知识星球【首席架构师圈】

本文地址
https://architect.pub/security-architecture-how-mitigate-risk-without-slowing-down-digital-transformation
SEO Title
【Security Architecture】How to Mitigate Risk without Slowing Down Digital Transformation