企业要上云备受数据丢失威胁,怎么做防范系统?

  • 来源:百度百家
  •  2015-12-25
  •   浏览 681 次
数据安全如何来做?教你几招

任何行业都无法避免这个问题,数据一旦泄露,在今天的数字世界,是非常严重和非常现实的威胁。在国外一些地区,仅在医学领域,客户数据如果丢失,要承担违约责任,甚至超过医疗事故的成本。 不过,保护数据、减少数据破坏的概率和影响的核心,是基于风险管理能力的提升。下面教你几招。

01

Dec/2015

虽然很多企业已经认识到风险评估和管理的需要,还有倾向于把风险评估和管理同来做。 不过,要使一个风险管理计划真正发挥作用,需要做好下面几件事情:

1.企业级风险管理实践。 从定位上来说,这个风险管理团队,需要是一个独立的和得到授权的部门。并且需要在CXO级别进行操作,意思是这个部门要和业务部门处于同等重要的位置。

2.IT级别的风险管理实践。 这个团队要专注于研发、应用适用于自身企业的应用程序和测试风险管理框架,以及相关的控制与框架。

3.经过认证的、合格的风险管理专业人士。 目前来说,已经有几个行业认证,比如CRISC(认证和信息系统风险控制)和CRMP(注册风险管理专业)。虑到网络安全已经成为移动互联网时代运营最重要的前提,公司需要给他们上大量的继续教育培训课程,这是至关重要的。

其实,我们可以看到大部分企业只是采用了以上部分方法,很少能够全部做到。

02

Dec/2015

风险评估没必要当作一个保密的事情来做。 一旦风险已经确定,他们只能选择下面这四种处理方式之一,具体选择哪个,这取决于每个风险因素与对应的业务的关联性:

1.接受风险。 这适合于低概率和低风险的情况。

2.避免风险。举个形象的例子来说,比如病人对医生说:“因为什么原因,我的胳膊受伤了。 ”医生会说:“你不要这样做就不会了。” 企业风险也是一样,企业不应该做具有风险性的业务,或者是不符合他们主要任务的,或者是不擅长的专业领域。 这是适合高概率和高风险的情况。

3.转移风险。 这是适合风险概率较低但风险很高的情况。举个例子来说就是,公司可以把风险转移给保险公司,或者类似外包的高资本或高专业性行业,如数据中心服务。

4.减轻风险。 这种方法适用于高概率但相对较低风险的情况。 此外,如果你碰巧是一个服务提供者,其他公司转移风险给你(如数据中心供应商),那么你作为承担风险的最后一站,你必须找到方法来减轻它。

显然,从风险因素的判断,再到采取适当的行动,是一个复杂的过程,涉及风险管理知识、风险管理技术、业务关联性分析,以及供应商能力分析等精算数据等。

话说回来,无论是接受风险还是避免它,都不会帮助你的企业更成功。主动防御而不是被动防范才是关键。怎么做?就是,覆盖尽可能多的漏洞。

另一方面,许多企业意识到,他么实际上并没有那么多员工、时间或钱,分配给风险管理这个部分。 这些是最大的障碍,还有公司内部一些问题,比如会引起部门间的利益矛盾。 因此,上面第从四个选项,是现在最受欢迎的选择,将风险转嫁给别人,这样就可以完全缓解风险了。

这么做的最大好处是,外包的方式是最具成本效益的选择,对比来说,认证的风险管理专业人员和获得认证的费用非常高,还有公司要提供的培养时间、资源等间接成本。因此有问题时,管理者总是建议将责任转移到更有效地降低风险的方式。

03

Dec/2015

值得注意的是,在你要搭建一个真正管用的风险管理系统之前,你需要评估的是你现在所处的行业环境, 而不是试图评估自己公司的情况。重要的是,你雇佣的第三方可以不遗余力地,苛求每个细节地完成风险评估业务。完全掌握风险知识将是你公司发展的一个优势;你知道的越多,越能降低风险。

第二个需要你做决定的是,是打算花钱自己建立风险部门,并且花一些精力在公司内部利益管理上,还是你想通过外包的方式来转移风险。

当然,无论你是如何选择的,你都是要尽可能的把资源放在减少漏洞上。

总结来说,作为一个企业管理者,意识不到风险管理的重要性、或者不懂得如何进行风险管理的后果是可怕的,不仅无法吸引到高质量的人才,还会破坏公司的名声和业务信誉。

最后一问:你是合格的风险防范者吗?

注:文章翻译自networkworld

作者Rich Banta

译者:许冬琦

To Top