下载掌阅APP,畅读海量书库
立即打开
正如《孙子兵法》中所言:“知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必殆。”这句话今天仍然适用于网络战略,并解释了为什么了解你的业务和威胁行为者可能带来的风险如此重要:这样做将形成强大的网络战略基础,有助于保护业务免受攻击。
要构建网络战略,你需要三大支柱来奠定坚实的基础,如图3.1所示。
图3.1 网络战略的基础
这三个组成部分对于理解网络战略的有效性至关重要。
你对业务了解得越多,就能更好地确保它的安全。了解组织的目标、与你共事的人员、行业、当前趋势、你的业务风险、风险偏好和风险容忍度,以及你最有价值的资产,是非常重要的。拥有完整的资产清单,对于根据这些资产遭受攻击的风险和影响来确定战略计划的优先顺序至关重要。我们所做的一切都必须反映高层领导批准的业务需求。
要定义风险并不太容易,就像在文献中,“风险”这个词有很多不同的用法。根据国际标准化组织ISO 31000的定义,风险是“不确定性对目标的影响”,其中影响是与预期的正面或负面偏差。在这种情况下,我们将使用ISO对风险的定义。
风险这个词包含三个要素(见图3.2):它始于一个潜在的事件,然后将其可能性与其潜在的严重性结合起来。许多风险管理课程将风险定义为
图3.2 风险定义
要知道,并非所有的风险都值得化解,理解这一点真的很重要。例如,如果一个风险发生的可能性极小,但缓解的成本却很高,或者风险的严重程度低于缓解的成本,那么这样的风险是可以接受的。
文档有助于建立流程之间的标准化,并确保组织中的每个人都以同样的方式努力实现同样的结果。它是每项战略的关键方面,在确保业务连续性方面发挥着特别重要的作用。网络战略文档化将确保效率、一致性,并让参与其中的人安心。然而,文档不应被视为一次性活动,因为即使在网络战略计划被写下来后,仍需要更新文档以反映网络安全形势的变化。图3.3说明了一个良好的网络战略文件应涵盖的内容。
图3.3 网络战略计划应涵盖的要素
总之,网络战略是根据公司对风险容忍度的定义管理组织安全风险的计划,旨在实现业务和组织目标。网络战略应与业务战略以及业务驱动因素和目标完全一致。一旦在这一点上达成一致,你就可以建立技术层面和网络战略来提升网络安全性。我们将在本章的后面讨论这些方面,但是现在你已经理解了形成网络战略的基础,让我们花一点时间来讨论实施网络战略的好处。