博客 / 詳情

返回

讀數字時代的網絡風險管理:策略、計劃與執行04風險指引體系

讀數字時代的網絡風險管理:策略、計劃與執行04風險指引體系

1. 風險指引體系

1.1. 數字化並不是CRMP要解決的問題

1.2. 數字化肯定會帶來風險,其中許多風險在短短几年前是無法想象的,但它也帶來了非凡的新商機

1.3. 企業用於做出風險管理決策的信息

1.4. 豐田

  • 1.4.1. 豐田首創了準時化生產技術(just-in-time production)​,這種技術可以準確地為客户提供所需的產品

  • 1.4.2. 不僅能帶來經濟效益,節省倉儲和庫存管理等方面的成本,還能快速、準確地交付定製訂單

  • 1.4.3. 豐田公司將看板系統視為其業務模式的戰略組成部分,實際上是關鍵基礎設施

  • 1.4.4. 會通過安全控制、監控和事件響應能力來實施網絡風險緩釋措施,並很可能已經在某些方面確定了潛在威脅的可能性和影響

  • 1.4.5. 準時化生產所帶來的回報幾乎肯定遠遠超過此次襲擊所造成的損失

    • 1.4.5.1. 如果負面影響大於收益,那就是錯誤的

  • 1.4.6. 風險狀況可能而且確實在發生變化,有時變化非常突然,而狀況的變化可能要求做出改變的決策

  • 1.4.7. 一個經過定義和批准的風險指引體系可以創建一個流程,其中包括對範圍、節奏和報告等的定義,為參與風險決策的業務利益相關者提供信息

2. 風險信息

2.1. 企業高層決策者對風險失敗負有責任,更重要的是,對未能瞭解風險負有責任

2.2. 如果沒有一個有效的系統來獲取、評估、報告和升級風險信息,那麼所有角色都有可能承擔嚴重的法律責任,包括民事責任和刑事責任

2.3. 如果不能建立一個系統化的流程,及時將風險信息傳遞給正確的人,就會帶來一系列非常嚴重的風險(法律、監管、財務和聲譽風險)​

2.4. 大多數承擔風險管理職責的企業決策者都認為自己知道什麼是風險,但除非他們使用系統化、經批准的正規流程進行風險判斷,否則他們對風險的理解很可能是不完整、不一致的,甚至在很多情況下是錯誤的

2.5. 安全專業人員可能會從威脅、漏洞以及為解決這些問題而採取的控制措施或能力的角度來考慮風險:惡意的內部人員、未打補丁的軟件漏洞以及數據保護

2.6. 風險=可能性×影響

  • 2.6.1. 風險=可能性(威脅利用漏洞的可能性)×影響(對企業流程、資產或目標的影響)

  • 2.6.2. 威脅利用漏洞的可能性很重要,因為企業面臨的威脅和由此產生的殘餘弱點(漏洞)是無法計算的,更無法完全應對

2.7. 大多數企業都運行着複雜、異構的IT環境,許多企業發現越來越難以清楚地瞭解自己部署了哪些系統和應用程序

  • 2.7.1. 瞭解資產對於瞭解一旦受到攻擊可能產生的影響以及潛在威脅是否有可能利用漏洞(弱點)至關重要

2.8. 威脅本身不是風險,威脅信息本身也不是風險信息

2.9. 明確的信息表明,對風險信息應採取全面的方法,而不是狹隘地關注單一的威脅或漏洞,這對現實世界的風險管理至關重要

3. 5個原則

3.1. 一套正式的、系統的、專門針對網絡的實踐方法,用於應對瞬息萬變的風險環境帶來的挑戰和機遇

3.2. 原則1:定義風險評估框架和方法

  • 3.2.1. 必須定義並執行風險框架和方法,以在組織範圍內識別、評估和衡量網絡風險

  • 3.2.2. 安全組織是這項工作的核心,為治理機構和整個企業提供做出風險決策所需的信息,但它本身並不做出決策,也不對決策負責

  • 3.2.3. 安全組織的職責不是做出風險決策,而是引導企業完成風險引導決策過程

  • 3.2.4. 安全組織與其他組織部門合作提供的信息都應被視為網絡風險指引體系的一部分,為治理機構和業務利益相關者提供教育和指導

    • 3.2.4.1. 企業風險信息、IT、操作技術(OT)​、物聯網(IoT)資產的識別

    • 3.2.4.2. 威脅情報

    • 3.2.4.3. 已定義的企業風險偏好

    • 3.2.4.4. 業務優先級

    • 3.2.4.5. 未來業務戰略

    • 3.2.4.6. 現有緩釋措施和經驗教訓

  • 3.2.5. 風險信息和識別實踐必須定期進行,並由決策者確定和批准,因為無法獲得持續的風險信息本身就是一種風險

  • 3.2.6. 一個經過批准的框架和方法論將通過系統性手段收集數據,以確定可接受的風險水平、識別新出現的潛在風險、管理或緩釋實際發生的風險,從而取代上述臨時方法或被動方法

  • 3.2.7. 指標必須是恰當的指標—不是運營或合規指標,而是提供與業務環境相適配、可獲取且具有行動導向信息的風險指標

  • 3.2.8. 最常見的挑戰之一是,擁有太多的數據,或者是錯誤的數據類型,而且很難將這些數據與實際情況相結合,使其具有可操作性並與風險決策相關

  • 3.2.9. 另一個挑戰是如何將數據轉化為預期受眾能夠清楚理解的術語和語言,並達到預期目的

  • 3.2.10. 強化了一項原則,即企業需要一個確定的框架來應對複雜的網絡風險,特別是在更廣泛的業務戰略和財務影響的背景下

3.3. 原則2:制訂風險閾值確定方法

  • 3.3.1. 必須為可接受的風險閾值—偏好和容忍度—制訂一套經批准的、可重複的方法

  • 3.3.2. 確定現狀的風險水平

    • 3.3.2.1. 意味着要評估企業目前面臨的風險以及現有風險緩釋措施的有效性

  • 3.3.3. 確定並商定理想的未來狀態風險水平

    • 3.3.3.1. 與治理機構合作制訂未來可接受風險的定義,使企業有可能優先安排風險管理工作,以應對不斷變化和新出現的風險

  • 3.3.4. 利用公認的未來狀態風險水平,制訂總體風險戰略和執行模式

    • 3.3.4.1. 不僅因為它使企業的風險偏好和容忍度與其總體業務戰略保持一致,還因為它使制訂和維護適當的預算分配成為可能

  • 3.3.5. 監測風險戰略的執行情況

    • 3.3.5.1. 必須是一個持續的過程,由治理機構監督,以確定其有效性,並確保企業保持在可接受的風險參數範圍內

  • 3.3.6. 根據商定的節奏進行持續監測

    • 3.3.6.1. 採取合適的節奏對風險偏好和風險容忍度進行適當的審查、評估和監控​,就有可能預測和適應風險環境的變化

  • 3.3.7. 風險偏好是指一個組織在追求價值的過程中,從廣義上願意接受的風險程度

  • 3.3.8. 風險容忍度指導業務單位在其業務範圍內落實風險偏好。風險容忍度體現了一定程度的靈活性,而風險偏好則規定了不應超越的風險限度

  • 3.3.9. 達到理想和適當的風險評估水平需要時間和努力

  • 3.3.10. 最終目標是建立一個框架,以確保企業及其風險決策者在選定的框架內使用所有可用數據,以可接受的風險水平,並利用輸出結果為治理機構提供信息

3.4. 原則3:明確風險指引的需求

  • 3.4.1. 應確定治理機構,並讓其參與全面瞭解其網絡風險指引的需求

  • 3.4.2. 網絡風險管理與所有形式的風險管理一樣,需要包括高級決策者在內的廣泛企業利益相關者的支持和參與

  • 3.4.3. 最終目標是為所有相關方提供適當的風險信息和風險衡量標準,以便他們做出基於風險的業務決策,並在既定的風險容忍度範圍內開展業務活動

  • 3.4.4. 開發風險指引體系的一個重要因素是在適當的利益相關者和所需的風險信息之間建立工作關係

3.5. 原則4:商定風險評估間隔期

  • 3.5.1. 風險評估過程應按照商定的時間間隔進行,並定期評估其結果

  • 3.5.2. 風險登記冊必須隨着新風險、可能性和影響的確定而不斷更新,以便治理機構能夠決定新的風險應對措施,並將其輸入風險登記冊

3.6. 原則5:啓用報告流程

  • 3.6.1. 報告計劃應使治理機構瞭解網絡風險對現有實踐和戰略決策的影響

  • 3.6.2. 風險指引體系是一個具有明確戰略和確定流程的體系,這些流程必須包括向治理機構和所有其他相關利益方報告

  • 3.6.3. 報告是一種溝通,與所有其他形式的溝通一樣,它對目標受眾來説必須在內容和風格上都是可獲取的、可操作的和具體的

  • 3.6.4. 董事會報告就是有效報告要求的一個很好的例子

    • 3.6.4.1. 董事的職責本質上是受託責任,即關注整個企業的財務健康

    • 3.6.4.2. 董事會報告應該用業務術語來表述網絡風險,並直接反映到關鍵業務運營流程和指標上

    • 3.6.4.3. 最終目標是讓董事會相信網絡風險正在得到有效管理

  • 3.6.5. 風險管理過程中的許多利益相關者更習慣於簡單地交流指標和其他數據

  • 3.6.6. 更好的方法是以一個具有情感衝擊力的故事開頭—一個被成功緩釋的安全漏洞,然後再補充輔助數據

  • 3.6.7. 反饋機制使領導者能夠根據需要調整戰略,確保組織的網絡安全態勢保持穩健,並能應對不斷變化的威脅環境

3.7. 既要有計劃性,又要根據具體情況進行微調

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.