加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 业界 > 正文

企业风险管理(ERM):如何将网络安全威胁融入业务上下文

发布时间:2018-10-28 07:31:07 所属栏目:业界 来源:nana
导读:网络安全风险如今已成企业风险管理(ERM)过程的重要一环。信息安全人员应如何谈论网络安全风险并评估其影响? 评估风险以识别对公司财务健康及市场机会的威胁的过程,即为企业风险管理(ERM)。ERM项目的目标是了解公司的风险承受能力,归类并量化之。 审视企
副标题[/!--empirenews.page--]

网络安全风险如今已成企业风险管理(ERM)过程的重要一环。信息安全人员应如何谈论网络安全风险并评估其影响?

企业风险管理(ERM)

评估风险以识别对公司财务健康及市场机会的威胁的过程,即为企业风险管理(ERM)。ERM项目的目标是了解公司的风险承受能力,归类并量化之。

审视企业风险的时候,传统方法是看金融风险、监管风险和运营风险。比如:汇率下降利率升高会有什么影响?新药能不能获批?库存还够不够?

想要量化企业风险,你得考虑进事件的潜在影响并乘以事件发生的概率。小影响事件即使发生概率高也影响不了多少公司的整体风险暴露面,大影响事件即便发生概率低也有可能是灾难性的。

网络安全威胁状况带来的风险逐渐成为ERM方程式的一部分,而这给CISO和其他高级安全人员带来了挑战。量化网络安全事件的商业影响非常困难,就差是个“不可能任务”了,而量化此类事件的发生概率甚至更难一筹。

企业风险管理过程

有些公司正在做这事儿。比如说,Aetna公司的企业风险管理框架中就将网络安全风险纳入了运营风险。这些风险是十分具体而定量的。事实上,ERM系统中会被馈送进日常风险分值。

Aetna首席安全官 Jim Routh 不仅负责这个过程,还是管理公司ERM项目的风险委员会成员。他表示:安全在有效企业运营风险管理中所占比重越来越大,必须与ERM和危机管理项目紧密配合。

仅仅合规还不够,黑客技术的快速进化要求控制措施设计与有效性也随之发展。监管合规是基础,但还不足以达到企业所需的弹性。

聚焦商业影响是从另一个角度思考网络安全,需要与技术性响应网络安全威胁相异的思维模式。网络安全曾经完全落脚在防止攻击上,而数据泄露要么已经发生,要么根本没发生。

现在大多数公司企业都认识到网络安全不是个待解决的问题,而是种需要加以管理的风险。大多数市场都适应了这种改变,换了全新的思维方式,认为风险生来就能被接受、被缓解或被转移。

ERM框架

安全语言和风险语言之间总有某种割裂感,让CSO更难以在企业风险管理讨论中有效履行其职责。实际上,在被问到如何量化特定缓解策略减少的风险时,很多网络安全专家深感挫败,转而指向有关数据泄露的媒体报道、NIST和FAIR之类的网络安全框架,或者运营指标以兹证明。

ERM框架中,“风险”一词有着特定含义。技术出身的网络安全主管大多倾向于关注非常战术性的技术问题而不是底线影响。比如说,如果某漏洞未被修复,就存在攻击者利用该漏洞盗取数据的风险。

然而,从商业角度描述同样的问题就可能是:修补该漏洞将会减小特定数据库泄露的概率;如果漏洞持续暴露,则将会因商业损失、罚款和修复支出而花费大笔金钱。运用商业描述,公司就能确定缓解计划是否有决定性影响,或者风险的降低程度够不够大,又或者该数据库够不够关键,并由此决定要不要把时间和金钱花在别的事情上。

也有专家认为这是不可能做到的,因为没有计算公式能算出你实现的每个控制措施各自帮你减少了多少风险。

虽然精确量化风险减少值不太可能,但公司企业可以根据威胁大小给风险排个优先级顺序。不按照特定工具或应用来衡量具体的风险改变情况,而是思考如何将公司从高风险状态转移至中度风险状态,再改善至低风险状态。

不过,没有哪个网络安全框架会量化这一做法的经济价值,公司企业是不会谈论降低风险的特殊价值的。

网络安全人员往往不讲底线风险,而是试图以各种吓人的“案例”向董事会证明所花预算很值。他们就是在贩卖惊惧情绪,而每个人都知道总有许多恐怖的故事可以吓到自己。

这种贩卖恐慌的做法可以歇歇了。网络安全技术人员应该思考的是应该如何与董事会和高级管理层沟通。他们太过关注那些极客眼中所谓的超酷技术了。技术人员与业务人员之间缺乏有效沟通。业务人员理解不了技术问题,技术人员不知道如何证明技术的商业价值。

于是,CSO面对高管谈及预算问题时可能就会寻求新闻头条作为支撑,比如影响其他公司的重大漏洞之类的,想要以此引入技术细节并造成某些心理上的影响。让人去想:又有什么新的事件了吗?会不会让我们公司更容易受到攻击?

即便他们试图拿出几个风险相关的数据以兹证明,那也是非常主观的。每个数字的含义都是在打分的时候编的。这与金融交易不同,金融交易中人们可以计算出欺诈百分比——历经五六十年检验的直观度量标准。

至今似乎还没有谁解决了网络安全风险计算的问题。大多数ERM框架都是围绕已知问题构建的。但网络安全风险领域没有已知风险,每个事件都是前所未有的。你怎么计算前所未见的风险呢?

于是CSO便去关注运营问题了,比如降低成本什么的。在需要评估风险或判断安全项目效能的时候,他们转向趣闻轶事寻求支持。比如,塔吉特发生了数据泄露,谁谁谁发生了数据泄露,5千万用户信息在Facebook上被曝了……但没人会说:“这是个价值4000万美元的风险,我需要1000万美元来解决。”没有足够的数据支撑这种计算。

安全人员需要从战术思维转变到战略思维,并与金融精算专家加强合作。IT与财务的结合与协同可能是个新的学科领域。

网络安全风险量化是一门不确定的科学

目前而言,精确量化网络安全风险这件事还为时过早。甚至保险业巨头都还没有广泛推开网络保险业务。确凿的网络安全风险值是存在的,人们越来越意识到这些数据的重要性,但受董事会认同的静态精算数据也确实尚未出现。

供应商提供风险得分卡会不会好一点?未必。这种做法很大程度上言过其实了。把自己的得分卡吹得天上有地下无的供应商往往不会谈及这样一个事实:每一次确定风险因素,分类所有资产,并整理归档以便馈送进此类系统都是非常费时费力的过程。

人工智能(AI)和机器学习能一定程度上减轻这种负担,但仍需要人类分析师做出最终决策,而决策工作并不轻松。不过,对有些公司而言,这一努力很值。这些公司已经对自身所有业务单元及数据做了排查,识别并记录了各自的风险等级,能更好地利用自动化报告在单一管理面板上看清自己的风险状况。只不过,要做到这一步,前期投入的工作量很大,大多数公司都还没达到这种程度。

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读