如何监控和管理网络风险?有哪些注意事项?

发布于:2018-05-02 来源:John Thackeray
2023FRM备考资料
FRM思维导图 全新复习资料 FRM前导课程 历年习题汇总
内容转载自:GARP协会,来源:John Thackeray
 
受到新闻和社交媒体关于在线威胁和网络攻击的报道的鼓舞,网络安全今天非常流行。
事实上,无论我们是在谈论最近伊朗在线对全球大学的攻击还是亚特兰大市的网络攻击(它在世界上最繁忙的机场关闭wi-fi),网络安全都是不断且正确地成为焦点。
 
黑客成功的大部分原因可能是缺乏对违规机构的规划,理解和实施。本文讨论了这些问题,并讨论了可能进一步加剧缺乏有效风险缓解的各种影响。
 
网络安全是一个无所不包的商业风险,需要在战术和策略上加以解决。要使网络安全有效,企业必须具备(1)共同的分类和词汇,所有业务领域都可以使用相同的语言;
 
(2)清楚了解其资产清单及其脆弱性;(3)场景事件的剧本,可以使组织准备就绪;(4)网络安全框架是端到端的,并由所有业务领域共同承担责任和问责。
 
现在我们来看看监控和管理网络风险必须考虑的所有因素。
 
注意事项
 
一般数据保护条例。
 
一旦GDPR立法变得可执行,任何影响欧盟公民的个人数据泄露将需要在72小时内报告。该法规将为数据所有者提供关于如何收集和使用其信息的透明度。
 
由于违规可能导致最高达总收入4%的罚款,这一规定将对跨国公司运营的公司产生重大影响。
 
AI和机器学习。
 
人工智能和机器学习肯定会获得更大的存在,在网络安全,因为这些破坏性技术聚集势头。
 
机器学习模型,特别是,以指数级推进,预计能够更准确地识别和预测网络攻击在短时间内。相反,这些机器也可以被利用来攻击他们所保护的组织。
 
勒索。
 
在过去几年中,勒索软件是一种网络勒索策略,已经成为一个重大威胁。事实上,在贪婪的新闻和社交媒体报道的帮助下,Ransomware继续声称高调的受害者。
 
此外,对快速降压感兴趣的网络犯罪分子可以利用黑暗网络中勒索软件的多样性和可访问性。
 
数据泄露。
 
要彻底消除数据泄露可能证明是不可能的,但是每个组织都有能力通过正确处理善后事宜来减轻这种打击。实施针对数据泄露的场景和响应计划有助于减少损失。
 
物联网。
 
匿名支付机制的普遍可用性以及物联网(IOT)等信息共享/采集设备的使用日益增多,网络勒索的发展得到了极大的帮助。

这些设备通常都缺乏基本的安全功能,或者没有正确配置,依赖于可以轻易被颠覆的过时软件。
 
安全实践。
 
安全实践不足-包括密码不佳,身份颠覆,过时的防病毒软件和过时的系统-普遍存在。有太多可怜的安全措施可供引用,但特别要提到补丁管理的挑战。
 
值得注意的是,端点安全性与IT管理不同:虽然系统很容易推出,但将系统离线进行维护或优先考虑需要修补的内容更为困难。
 
第三方供应商。
 
专注于建立自己的安全防御体系的组织已经认识到,它们容易受到友好的攻击。如果组织的任何第三方合作伙伴的安全控制措施不足或松懈,黑客就可以利用这些可信来源并将其引入内部网络和系统。
 
该供应链还延伸到供应商的供应商,并且需要第三方风险管理来缓解保护内部设备和数据所带来的风险。
 
分开的想法
 
网络风险对每个金融机构构成巨大威胁。花时间了解各种网络威胁并采用适当的网络安全原则的公司当然可以缓解这些风险。
 
注:上述文章内容,仅代表作者(John Thackeray)自己的观点。本站点仅做转载,并不视为认同其意见。
 
本文由中国FRM考试网(www.frm.cn)整理编写,采编自:GARP协会。版权归原作者所有。如有侵权请联系删除。本文仅供参考、交流之目的。
责任编辑:中国FRM考试网