管理网络风险对组织来说至关重要. 互联性, 数字化, 专注于利用数据和提供增强的客户体验会扩大攻击面,并使组织面临更大的网络风险. 对于董事会成员来说,被告知(或在报纸上读到)公司的客户数据库被泄露到网上,我想不出还有什么比这更糟糕的经历了, 大量资金被盗,或者该组织无法运作,因为所有服务器都被勒索软件锁住了. 没有任何组织是100%安全的,糟糕的事件会发生. 有, 然而, 可以采取的实际步骤,以减少网络事件发生的风险, 当它发生时, 将组织恢复到事件发生前的相同状态.
难点在于从哪里开始管理网络风险, 特别是如果组织还没有专注于网络. 我建议不要贸然介入并开始执行网络行动. 在我看来,最重要的任务是在管理层的支持下创建一个网络弹性计划. 这项任务可能相当困难, 但如果没有行政支持, 一个工具,所有必须完成的任务和一份报告,让董事会了解网络旅程, 网络风险管理将陷入困境, 而该组织将只等着成为网络攻击的受害者. 这变得更加困难,特别是在没有经历过网络事件的组织中. 如果有许多组织的网络风险管理程度是隐藏在专注于硬件和安全设置的IT部门的技术团队,我不会感到惊讶.
虽然我在我的 杂志 article,我建议先做一个当前状态的网络风险评估. 聘请一家受人尊敬的外部咨询公司进行评估. 公开、透明和诚实是这一步的关键词. 网络从业者将知道组织中没有到位的许多事情,并且应该将这些信息提供给评估团队. 一旦董事会的注意和承诺已经获得了外部报告, 下一步是创建一个网络复原计划. 在这一步中,重点是在2到3年的时间里对我的文章中讨论的项目进行排名. 第一年不可能什么都做,因为太贵了, 而且资源不会立即到位,无法一次性解决所有问题.
It is very important that the board understand cyberrisk; therefore, 实施董事会报告和提高高管意识应成为三年计划的重中之重. 第一份报告是否有很多红色项目并不重要. 董事会消息越灵通,尤其是来自各业务部门的董事会成员, 更重要的是, 如果他们了解网络事件对其组织的影响,就更有可能获得资源来实施网络计划. 董事会报告可能是网络从业者拥有的最重要的工具之一,应该有效地利用它来管理网络风险,并向董事会描述网络旅程. 我的观点是,一个组织不应该试图描述网络的最终目标, 而是描述整个过程,以及在整个过程中采取了正确的行动来减少网络风险. 下一步是采用网络成熟度框架,根据该框架对组织进行内部度量. 有了这些工具,我的文章中的其他步骤就可以规划和实现了.g., 鉴定皇冠上的珠宝, 威胁建模, 确定控制措施是否足以保护杀伤链上的关键点, 红队测试, 等.,实施的每一项都将提高组织的网络成熟度.
阅读Jaco Cloete最近的文章 杂志 文章:
“实用网络风险管理,” ISACA杂志, 2019年第3卷.
