1. 识别关键信息。第一步是确定如果对手获得哪些数据将对组织特别有害。这包括知识产权、员工或客户的个人身份信息、财务报表、信用卡数据和产品研究。
2. 分析威胁。下一步是确定谁对组织的关键信息构成威胁。可能有许多对手针对不同的信息,公司必须考虑可能针对这些数据的任何竞争对手或黑客。
3.分析漏洞。在漏洞分析阶段,组织会检查保护关键信息的保护措施中的潜在弱点,并确定哪些弱点使其容易受到攻击。此步骤包括查找旨在防范预定威胁的物理和电子流程中的任何潜在失误,或发现缺乏安全意识培训而导致信息容易受到攻击的领域。
4. 评估风险。下一步是确定与每个已识别漏洞相关的威胁级别。公司根据特定攻击发生的可能性以及此类攻击对运营的破坏程度等因素对风险进行排名。风险越高,就越迫切需要实施风险管理
5. 采取适当的对策。最后一步涉及部署可降低风险的 OPSEC 计划。最好的起点是对运营构成最大威胁的风险。潜在的安全改进包括实施额外的硬件和培训以及开发新的信息治理
运营安全最佳实践
开发和实施端到端运营安全计划的组织将希望遵循以下最佳实践:
- 变更管理流程。公司必须制定变革管理流程,以便员工在对网络进行调整时遵循。
- 限制设备访问。组织应该只允许设备访问绝对必须具有该访问权限的网络,并且应该使用网络设备身份验证。
- 实施最低特权访问。企业必须为员工分配成功执行工作所需的网络、数据和资源的最低级别的访问权限。最小权限原则确保系统、应用程序、进程或用户仅拥有完成其工作或功能所需的最小访问权限。
- 部署双控。公司必须确保负责维护公司网络的团队和个人与负责制定安全策略的团队和个人分开。这种方法可以防止利益冲突和其他问题。
- 实施自动化。在企业安全方面,人员通常是最薄弱的环节。人类会无意或有意地犯错误,导致数据最终落入坏人之手,忽视或忘记重要细节,并绕过关键流程。自动化可以消除这些错误。
- 制定灾难恢复计划。任何信息安全防御的一个关键部分是制定灾难计划并实施强有力的事件响应计划。即使功能最齐全的 OPSEC 计划也必须附有灾难计划,以识别风险并详细说明公司将如何应对网络攻击并限制潜在损害。
图片
美国国家标准与技术研究院的四个事件响应生命周期阶段重点关注安全事件的检测和补救,以及组织现有的治理结构。
OPSEC 和风险管理
OPSEC 鼓励管理者从外到内看待运营和项目,即从竞争对手或敌人的角度来识别弱点。如果一个组织可以在充当局外人的同时轻松提取自己的信息,那么外部对手也很可能可以。完成定期风险评估是识别漏洞的关键。
风险管理包括在漏洞和威胁变成真正问题之前识别它们的能力。OPSEC 迫使管理人员对其运营进行深入分析,并确定敏感数据容易被泄露的地方。通过从不良行为者的角度看待操作,管理人员可以发现他们可能错过的漏洞,并且可以实施正确的 OPSEC 流程来保护敏感信息。
作战安全培训
美国卓越安全发展中心 (CDSE) 是国防部国防反情报和安全局的一部分,为军事人员以及国防部雇员和承包商提供安全培训。该小组使用基于网络的电子学习格式来展示其培训计划。
CDSE 培训涵盖的领域包括:
- 定义操作安全;
- 识别关键信息;
- 了解 OPSEC 的五个步骤;
- 识别潜在威胁以及它们如何导致对手发现敏感信息;和
- 采取适当的对策来保护关键数据。