首页。 / 资源 / 新闻及趋势 / ISACA Now博客 / 2022 / 2019冠状病毒病——信息风险管理的引燃者

2019冠状病毒病:信息风险管理的引燃者

阿德汗Etoom, CISM, CRISC, PMP, GCIH, 公平, 约旦政府, 国家网络安全中心, 约旦, 和埃赫纳普雷西, CISM, CRISC, ITIL, 信息安全风险经理
作者: 阿德汗Etoom, PMP, GCIH, CRISC, 公平, CISM, CGEIT , 约旦政府, 国家网络安全中心, 约旦, 和埃赫纳普雷西, CISM, CRISC, ITIL, 信息安全风险经理, 现在免费(宝马) & 戴姆勒合资澳门赌场官方下载),德国
发表日期: 2022年5月18日

“流行病是已知的未知.”

这让人们下意识地思考风险,因为我们不确定流行病何时会发生,也不确定我们应该如何准备遏制和减少它们的影响. 由于缺乏有关其出现的可靠数据,COVID-19大流行被认为是最复杂的已知未知数之一, 多重突变和全球传播速度. 

我们看到,不同的国家采用不同的方法和对策来控制疫情. 为使人们遵守对他们的期望所需的控制执行的程度和范围是有效风险管理的一个很好的例子.

然而, 新冠肺炎疫情给全球带来前所未有的冲击, 我们必须将其视为在所有行业都具有实际应用价值的全球风险管理实践, 包括成为网络安全专家的宝贵练习.

COVID-19的长期传播, 以及由此带来的社会和经济动荡, 是否也引发了数字化转型的加速. 许多组织决定在没有量化风险暴露的情况下抓住数字机会, 因此产生了新的风险. 澳门赌场官方下载被迫在一夜之间适应物理距离和远程工作模式.

这创造了新的优先事项,要求我们在网络安全背景下转变思维方式. 偏远的新员工培训, 越来越多地使用在线协作工具和使用非公司网络来访问组织的信息资产,产生了重新设计业务流程的需求, 加强风险登记册, 关注网络安全控制的有效性, 回顾一下风险偏好表. 这些机会引发了范围更广的网络攻击.

根据 McAfee 澳门赌场官方下载和FireEye发布了一份名为《澳门赌场官方软件》的报告 2021年, 全球81%的澳门赌场官方下载面临的网络威胁有所增加,79%的澳门赌场官方下载在网络高峰期因网络事件而停机. 这些攻击多种多样,包括勒索软件, 数据漏出/泄漏, 网络钓鱼, 蛮力, 恶意软件, 等.

在家办公技术和应用的大量采用给澳门赌场官方下载内部的网络安全功能带来了相当大的压力, 哪一个必须在不影响整体澳门赌场官方下载绩效和员工生产力的情况下保护这些应用程序. 世界各地的网络安全领导者必须解决三个主要领域:技术, 人员和流程.

技术: Required technological controls must be in place as enterprises enable employees to work from home and maintain business continuity; the cybersecurity function can support the proper course of action to mitigate cybersecurity risks.

人: 所有员工都必须了解信息和网络安全风险(包括那些在家工作的员工),并且必须仍然保持良好的判断力,通过建立“人力防火墙”来维护信息安全,以确保澳门赌场官方下载的安全.

过程: 很少有内部流程被设计用于支持在家进行大量工作. 因此, 促进弹性的流程重新设计将有助于建立正确的控制,以减轻此目的的风险.

在家工作的员工必须保持良好的判断力,通过坚持更强的技术控制来维护澳门赌场官方下载内的信息安全. 另一方面,组织应该确保他们不是在打一场必败的战争. 同时将不成比例的资源用于加强对已知风险的防范, 组织可能会错过来自其他方向的新出现的风险.

当他们驾驭新的数字机遇时, 组织正在尝试重构他们的风险范围,并根据新的风险因素进行调整. 所有信息风险管理过程的迭代比以前更加频繁, 特别是考虑到迭代之间的风险响应和监视阶段的时间框架.

此外, COVID-19严重挑战了组织接受风险偏好的能力, 容忍度和容量, 并利用它们来做出重要的商业决策. 总的来说,这是对风险方法和框架的真正的弹性测试, 哪些暴露了风险管理实践中的许多漏洞和缺陷. 信息风险管理的角色似乎从信息安全治理功能重新定义为关键的业务盟友.

充分了解与每种危害相关的潜在风险,并协助做出明智的决定, 最可能的情况是 必须按照自顶向下和自底向上的方法进行评估和沟通吗. 这些场景应该表示组织可能遇到的合理可预见的事件范围. 另一个重要的工具是定义重要的KRIs作为早期预警风险检测系统,以帮助组织有效地监控, 管理和减轻已知和新出现的风险. KRIs必须与组织的战略优先级相关联,以便在组织面临无法实现其目标的风险时进行标记.

另外, 澳门赌场官方下载敏捷和快速适应不断变化的环境的能力现在比以往任何时候都更加重要. 为了培养敏捷方法,组织应该:

  • 增加跨职能协作
  • 为风险管理活动提供广泛的管理支持
  • 提高数据收集和分析的速度和准确性,以提供性能指标
  • 在所有风险管理阶段积极主动
  • 增强关键信息资产的弹性

董事会必须对COVID(以及最终的后COVID)世界有合理和现实的网络风险预期, 如果没有在上面提到的所有主要领域建立真正的弹性,这是不可能实现的. 他们必须对风险管理功能执行有效的监督,以确保整个澳门赌场官方下载的健全治理实践.

除了, 董事会必须考虑为安全分配必要的预算,并将其与总体技术支出分开. 跟上网络安全挑战的步伐, 组织必须在战略层面考虑网络风险. 澳门赌场官方下载范围的识别方法, 检测, 信息风险的响应和恢复必须有效地传达给董事会和跨职能部门.

ISACA年度报告

2024
复选标记

2023
复选标记

2022
复选标记

2021
复选标记

2020
复选标记