首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 网络风险治理:实施实用指南

网络风险治理:实施实用指南

啤酒š祖潘
作者: 阿莱什·祖潘博士.D.、cisa、ccit、ccx - p、ccsp
发表日期: 2021年1月18日

尽管到2020年,全球网络犯罪造成的损失将超过1万亿美元,占全球国内生产总值(GDP)的1%以上,但这一话题仍未得到组织董事会和高管层的足够重视, 根据战略与国际研究中心(CSIS)和迈克菲的一份报告.1 那么,为什么让董事会对网络安全感兴趣这么难呢? 这个话题是太技术性还是太无形? 如何才能改变这种状况?

从颗粒级的网络风险治理开始

如果以过于抽象的方式描述网络风险(或任何其他风险)(e.g., 组织成为勒索软件攻击的受害者,机密信息被泄露给未经授权的人员), 确定的风险可能看起来不太明显或可操作. 这使得董事会成员无法将已识别的高级网络风险直接与组织的战略或运营目标联系起来, 导致他们失去了对手头安全问题的关注. 网络风险就变成了组织技术部门的唯一责任, 破坏了信息资产与组织的业务目标之间的联系.

一种可能的解决方案是通过在整个组织中创建风险治理委员会来建立网络风险治理的联合模型, 从业务单位一直到董事会. 取决于组织的规模和结构, 业务单位级别的风险治理委员会可以在生产单位建立, 在职能部门内(如.g.,财务,人力资源[HR],销售)或地理(e.g.,州,地区,国家). 在组织的这个层次上,业务所有者仍然知道他们的信息资产(例如.g., 信息, 应用程序, 服务提供商, 供应商)的详细信息,并了解如果这些资产中的任何一项不可用,或者如果信息被不恰当地披露或更改,对运营的影响.

风险治理委员会应该由业务单元内的一位高级业务人员领导,他可以分配财务和人力资源, 并被授权承担风险. 另外, 董事会应包括业务方面关键信息资产的所有者和技术代表, 信息与网络安全, 风险管理功能.

风险治理委员会会议的议程应该相当一致. 董事会审查现有的网络风险和补救处理进展, 遵从性偏差, 事件, 异常, 漏洞扫描和安全修补的结果, 网络威胁情报. 所有的数据, 应该以带有关键风险指标(KRIs)的仪表板的形式呈现, 由业务单位拥有的每个具体信息资产的详细信息支持(图1).

图1 -领导层的网络风险仪表板
图1领导力网络风险仪表板示例

查看大图

因此,风险治理委员会能够监控其自身信息资产的网络风险状况, 做出风险处理的决定, 监督补救工作并(重新)将资源分配给最重要的活动.

业务单位的指示板在相同的类别中包含更详细的信息, 然而, 它与单个或一组信息资产相关联.

汇总信息并向ERM和管理层汇报

网络安全团队参与业务单元级别的每个网络风险治理委员会. 他们从每个业务部门收集详细信息, 通过分析, 能识别缺陷模式吗, 补救活动被延误或停止的地区, 新兴风险, 和更多的. 他们可以汇总来自不同业务单位的风险因素,并将它们映射到组织范围的风险影响和可能性级别. 整体视图呈现给首席信息安全官(CISO)/网络安全主管, 谁来批准汇总结果,并将网络风险状况传达给组织的风险委员会. 这取决于组织, 这可能是澳门赌场官方下载风险管理(ERM)委员会, 董事会的风险委员会或董事会本身.

为组织层面的网络风险报告做准备, 确定风险分类类别及其风险偏好是至关重要的.

在整个风险识别、聚合和报告链中使用通用风险分类法

将网络风险治理与其他风险治理并列定位的一个重要组成部分是定义良好且一致同意的风险分类. 另外, 组织必须定义并就其对个别风险类别的风险偏好达成一致. 然后应该使用相同的风险分类法对业务单元级别的风险区域进行分类, 在聚合级和董事会级. 这种方法的好处是,网络风险的报告与所有其他风险的报告形式相同. 它允许从业务单元到组织级别的简单聚合, 反之亦然, 允许将战略网络风险从组织级别分解到业务单元级别和, 最终, 个人信息资产.

通过将网络风险分配到不同的风险分类组(例如.g., 操作, 金融, 声誉), 网络风险报告的语言与其他风险报告使用的语言相同,从而获得组织层面的认可和承认.

最初,信息流是自下而上的. 随着这种模式的成熟,额外的好处开始自然出现. 受详细鼓励, 使用预定义的分类法和风险级别以业务语言进行自底向上状态报告, ERM委员会和董事会的成员开始自上而下地确定, 影响选择的网络风险战略领域, 技术设计及操作(图2).

图2 -网络风险治理模型
图2 -网络风险治理模型

有人可能会争辩说,这种方法与前面所质疑的抽象级方法并没有太大的不同. 然而,有一个显著的区别. 每个KRI, 财务影响或遵从性缺陷有一整套支持证据,可以深入到业务单元级别, 或者甚至是信息资产级别. 这些证据让董事会成员确信,风险是真实而切实的, 识别方法是结构化的、系统化的, 网络风险管理很重要,应该像对待其他风险一样对待. 在组织层面确定的战略网络风险领域可以快速找到运营路径, 因此,在组织中关闭了高效和有效的网络风险治理循环.

尾注

1 史密斯,Z.; E. Lostri; 网络犯罪的隐性成本,美国战略与国际问题研究中心,迈克菲,2020

阿莱什·祖潘,CISA, CRISC, CGEIT, CSX-P, CISSP

是一名经验丰富的IT高管,在大型全球电信和制药公司拥有超过20年的经验,曾担任首席信息官(CIO)。, CISO, IT治理主管, 风险与合规(GRC)以及网络安全意识和培训经理. 2018年,祖潘成立了咨询公司——亮星咨询有限公司.该公司位于斯洛文尼亚卢布尔雅那,提供IT、GRC和网络安全咨询服务. 可以联系到他 爱丽斯.zupan@brightstar-consulting.com.