博客 / 詳情

返回

讀數字時代的網絡風險管理:策略、計劃與執行06戰略和執行(下)

讀數字時代的網絡風險管理:策略、計劃與執行06戰略和執行(下)

1. 確定基於風險的戰略和執行方式

1.1. 在應對人工智能和其他數字技術帶來的快速發展的攻擊面和新興風險方面,安全組織可以發揮獨特而關鍵的作用,而正式的CRMP對於安全組織履行這一職責至關重要

1.2. 該計劃還能確定一個商定過的、經得起推敲的預算,為人員和預算資源、工具、第三方互動和其他問題提供目的、方向和優先級

1.3. 安全威脅和漏洞並不是企業及其安全組織需要通過基於風險的執行來解決的唯一問題

  • 1.3.1. 業務(和技術)環境的變化可能會以許多其他形式出現,而且這些變化並不一定意味着風險因素的增加

1.4. 風險與整個企業環境一樣,都在不斷變化,網絡風險更是如此

  • 1.4.1. CRMP形式的基於風險的戰略和執行對於企業的生存絕對至關重要

2. 6個原則

2.1. 企業風險環境的快速變化,尤其是網絡風險管理的快速變化,要求我們採取全新的風險管理方法

2.2. 臨時性或被動性的努力,或主要由法規、企業合規性要求驅動的舉措,已遠遠不能適應當今和未來極不穩定的經濟、社會、政治和技術環境

2.3. 在滿足企業對基於風險的戰略和執行的迫切需求方面,安全組織可以發揮重要甚至關鍵的作用,但它必須不斷髮展,以提供更大的實際業務價值

  • 2.3.1. 意味着要向治理機構提供風險信息,圍繞企業的風險偏好和容忍度提供背景信息,然後制訂戰略級的風險應對計劃以及與之相關的預算,從而能夠制訂戰略來執行這種風險偏好和容忍度

2.4. 原則1:確定可接受的風險閾值

  • 2.4.1. 可接受的網絡風險閾值必須由風險負責人根據風險框架和方法清楚地理解、確定和批准

  • 2.4.2. 與治理機構合作制訂未來可接受風險的定義,可以使企業能夠優先安排風險管理工作,以應對不斷變化和新出現的風險

  • 2.4.3. 風險所有者可以是負責特定企業資產的個人、業務線領導、高層管理人員,甚至是董事會成員

  • 2.4.4. 一旦風險所有者明確瞭解並確定了風險偏好和容忍度,就應在適當的治理層面(最常見的是高管層)予以批准

  • 2.4.5. 預算始終是壓倒一切的問題

    • 2.4.5.1. 可支配的資金有限,在大多數情況下,用於網絡風險的資金必須從市場營銷、研發或安全等其他預算中拿走

    • 2.4.5.2. 無論是新的安全措施還是新的技術,為網絡風險建立一個理想的未來狀態並不一定意味着要花費更多的錢

    • 2.4.5.3. 可能意味着企業決定可以接受更高的風險水平,稀缺的預算資源可以用在其他地方

  • 2.4.6. 基於風險的預算編制具有戰略意義,不能脱離幫助企業找到風險與回報平衡的理念

  • 2.4.7. 關於什麼程度的風險是可接受的戰略決策由風險所有者掌握

    • 2.4.7.1. 可確保網絡安全風險不只是一個技術問題,更是一個可以對組織的運營和目標產生重大影響的戰略問題

2.5. 原則2:使戰略和預算與批准的風險閾值保持一致

  • 2.5.1. 網絡風險應對計劃和預算應與批准的風險閾值保持一致

  • 2.5.2. 當風險偏好和風險容忍度得到明確確定和批准後,就必須制訂實現未來理想狀態的戰略

  • 2.5.3. 需要平衡風險和回報,使得管理和最大限度地利用有限的風險資源成為關鍵問題

  • 2.5.4. 安全組織在其中扮演着核心角色,負責評估、設計、實施和控制風險管理策略,不僅包括緩釋、轉移和接受風險,還包括風險接受前流程和風險後分析

    • 2.5.4.1. 它使制訂和維護適當的預算分配成為可能

  • 2.5.5. 每項風險決策幾乎都會對財務產生影響—這意味着重大風險決策都應該有首席財務官或其他高層財務決策者的參與

  • 2.5.6. 預算將再次成為首要因素,這意味着安全組織的領導層需要與高管或治理機構密切合作,使企業的業務目標與風險戰略、整體安全實踐組合和可用資源相一致,並最終滿足企業的業務需求。鑑於現代企業的複雜性,與業務戰略保持一致可能很困難

  • 2.5.7. 安全組織還需要與其他與風險相關的運營職能部門協調,以考慮業務連續性和災難恢復、安全運營中心(SOC)和整個IT組織的能力以及第三方能力等問題

    • 2.5.7.1. 企業每年應至少進行一次審查,以確定需要對運營和資本支出做出哪些改變

    • 2.5.7.2. 網絡風險的動態性幾乎肯定會要求做出更多需要調整的即時反應。

2.6. 原則3:執行以達成已批准的風險閾值

  • 2.6.1. 應執行網絡風險應對計劃,以達到批准的風險閾值

  • 2.6.2. 確定的戰略風險應對計劃的執行—所用的流程、機制、技術和工具的日常管理工作—需要與創建和批准旨在滿足業務所確定的風險容忍度的過程一樣,是有效和系統的

    • 2.6.2.1. 將使風險應對能夠保持最新狀態,並與既定的風險和控制框架保持一致

    • 2.6.2.2. 使風險評估和審計保持積極主動,並與當前的風險和差距保持一致

    • 2.6.2.3. 要在預期的時間和預算範圍內達到預期的風險容忍度

  • 2.6.3. 網絡保險(用於補償因勒索軟件和其他網絡攻擊導致的系統中斷成本)的保費極高,而且有很多免責條款,原因很簡單,保險公司沒有足夠的數據來確定組織真實的風險暴露程度

    • 2.6.3.1. 人壽保險的保費可以根據數百萬個數據點來計算

    • 2.6.3.2. 許多企業認為網絡保險太貴,選擇將有限的資源用於其他方面,以實現風險管理目標

  • 2.6.4. 與執行過程相關的組成部分包括安全事件的預防、檢測和響應,以及破壞性事件(如災難恢復)期間的恢復活動和能力管理

    • 2.6.4.1. 識別高優先級資產和企業運營中的重大變化,以及法律、法規和其他義務對風險應對活動的適用性

    • 2.6.4.2. 執行必須成為綜合運營風險框架或總體安全風險管理框架的一部分

  • 2.6.5. 預算似乎是一個固定的對象,管理年度預算當然是一個重要的目標

  • 2.6.6. 其目的是清楚地闡明所選擇的應對策略,確保利益相關者有統一的認識

    • 2.6.6.1. 有助於監測進展情況,明確劃分實施風險應對措施的順序,促進執行過程中的清晰度和一致性

2.7. 原則4:持續監測

  • 2.7.1. 應通過既定的績效指標和業務衡量標準,持續監測網絡風險應對計劃的執行情況

  • 2.7.2. 利用確定的風險和績效指標以及運營衡量標準對風險緩釋績效進行持續審查,在業務目標與確定的風險之間取得平衡,這對於成功的基於風險的戰略和執行至關重要

  • 2.7.3. 監測過程由治理機構負責監督,並使用經批准和接受的KPI和關鍵風險指標等有意義的衡量標準,按照規定的節奏進行

  • 2.7.4. 該流程可確保人員、流程和技術在可接受的風險參數範圍內有效運行。它可以根據不斷變化的風險組合,通過適當而靈活的資源分配,預測和適應風險環境的變化

  • 2.7.5. 持續監控可以識別並應對整體環境中的變化,包括法律、法規和行業標準的變化,以及新業務運營和目標、新風險、新技術和新緩釋策略的出現

    • 2.7.5.1. 能使安全計劃不斷適應監控到的、不斷變化的風險狀況

    • 2.7.5.2. 有可能引發風險容忍度水平的必要變化,而這些變化應適當傳達給企業的治理機構和所有利益相關者

2.8. 原則5:根據風險閾值進行審計

  • 2.8.1. 審計職能應根據批准的風險閾值,審查和評估網絡風險應對計劃的執行情況

  • 2.8.2. 對於確保企業的網絡風險戰略與整體業務戰略保持一致,特別是風險應對計劃與既定的風險偏好和容忍度保持一致至關重要

  • 2.8.3. 審計不僅僅是根據既定的最佳實踐和管理標準來衡量企業的風險應對計劃,以確保其合規

  • 2.8.4. 審計職能還需要確定企業的整體風險管理方案是否為利益相關者提供了他們所需的信息—在適當的細分層面上—以便做出風險指引的戰略決策

  • 2.8.5. 確保在風險與回報之間建立適當的平衡,並在適當的層面得到認可

    • 2.8.5.1. 必須確認安全組織和風險所有者都保持在規定的容忍度範圍內,基於風險容忍度的執行是及時又靈活的,且風險預算基於已識別的風險因素

2.9. 原則6:將第三方納入風險應對計劃

  • 2.9.1. 網絡風險應對計劃應考慮第三方,包括合作伙伴、供應商和供應鏈參與者

  • 2.9.2. 許多企業最大的風險源來自第三方,因為第三方運營的透明度極其有限

  • 2.9.3. 必須通過涵蓋整個生態系統的全面風險應對戰略來管理這些風險

  • 2.9.4. 當對一家企業的攻擊可能導致成千上萬家其他企業遭受潛在損失時,企業及其治理機構顯然必須將重要的第三方風險視為關鍵問題,並通過其CRMP加以解決

  • 2.9.5. 許多企業最大的風險來源就是與第三方的合作

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.