企业风险管理(ERM):如何将网络安全威胁融入业务上下文
|
想要产生有用的分数和衡量标准,公司企业必须分类包括数据在内的所有资产,以及这些资产在公司中起到在作用,还有各业务职能及数据的重要程度。只有做完所有这些费时费力的工作,将这所有数据集中起来,才可以馈送进你的ERM系统,让它吃进所有数据再吐出一张得分卡给你。 越来越多的CSO被要求进行企业风险评估,这其中正慢慢发生一些转变。虽然风险得分是估测的,也难以获取正确的数据进行正确的评估,但CSO们正在摸索评估的方法。这是业务部门的人想要看到的现象。 网络安全确实有些具体的挑战,比如第三方风险和黑天鹅事件,但其他业务领域也存在此类挑战,只不过网络安全方面不可预测的程度更高些。但网络安全领域有大量数据可用,也有很多公司企业在关注这一问题。 网络保险行业的成长就是人们开始计算网络安全风险的例证。网络保险公司相当清楚自己要保险什么,也知道该要求被保人设置哪些安全措施才可以获得保单。还有供应商可以提供外部风险测评,找出暴露的系统;并有评估公司可以进行网络安全审计。网络安全风险如今开始从感性认知迈向科学计算了。 如何计算网络安全事件的影响 商业影响是网络安全风险方程的前半部分,也是最简单的部分,尤其是对大企业而言。财富500强公司往往都部署了ERM项目。这是个重要起始点。任何成立已久的公司通常都会对网络安全风险的商业影响投以关注。 然而,网络安全方面却有可能并未设置成熟的模型,CSO需与业务部门合作推动这一领域的发展。比如说,联邦快递惯于为圣诞购物狂欢季的爆仓及人手不足风险做好打算。但在2017年6月,一场勒索软件袭击造成了约3亿美元的损失。这种事是他们之前从未想过的。 受监管的行业有一系列合规框架可以帮助识别出网络安全攻击可能造成影响的领域,比如零售业的PCI DSS (支付卡行业数据安全标准)、医疗行业的HIPAA和适用于金融公司、公开上市公司及政府承包商的各类框架,但这些都只是个最基本的起始点。 以PCI为例,支付卡行业安全标准委员会注重保护信用卡信息安全。但不涉及数据泄露的收银系统勒索软件攻击同样可能对公司造成重大财务损失。因为没有数据泄露,这不算是PCI事件,但销售下滑真实发生了,更别说还有其他诸如公司信誉损失、业务停滞之类的后续影响,最终可能导致公司承受巨大的经济打击。 识别出可能受网络安全事件影响的关键业务过程是一项重要的工作,但很多公司企业并没有做好。太多CSO不够清楚到底什么才是业务关键的东西。 如何计算网络安全事件的概率 计算事件潜在影响只是风险方程的前半部分,计算事件发生概率是风险方程中同样重要而困难的一个部分。 可以采用由外而内的方法来计算事件概率。 计算特定漏洞或其他安全问题损害公司的风险是绝对可能的,但需要公司在观测和定性上需要一定程度的一致性。 CSO每年至少需与CEO和CTO坐下来商谈一次,确定网络安全事件发生的概率及影响的风险值。这样,CSO才可以进行各种计算,将之转变为能切实降低风险得分的具体标准,持续跟踪公司整体风险态势,为公司采取的风险预防和缓解操作提供更多透明性。 风险计算方程的前半部分——商业影响,取决于失去数据中心或数据集等事件给公司带来的直接和间接损失。于是,要计算事件发生概率就得纳入公开数据、内部输入和外部测试。比如说,对数据中心而言,公司可以查阅地震和火灾发生频率等公开信息。 网络攻击的数据要难找一些,可以求助第三方渗透测试员来判断公司系统入侵的难易程度——渗透进去的耗时越长,所需技术水平越高,攻击成功的概率就越低。 控制措施有效性判断没有一劳永逸的通用方法,我们只能不断测试,通过漏洞扫描、红蓝对抗和高级渗透测试等方法持续评测公司安全措施有效性。 董事会什么时候才能不用担忧网络攻击? 网络安全风险是个让公司董事会深感挫败的问题。 在过去,风险提交到董事会,董事会就会拿出一个方案来解决,然后完事儿。比如说,如果存在火灾风险,董事会决定安装消防喷头和购买火灾保险就好了。此后除非又有什么变动,否则董事会就可以抛开火灾问题不谈,将精力放到其他问题上。但网络风险不是这样的。 网络风险持续存在,是个长期议题,该风险领域无限广阔而多样。 事实上,不仅网络威胁不断进化,技术也在加快渗透进生产生活的各个方面。每家公司如今都是网络公司,每个业务过程都要用到网络。 【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文 【编辑推荐】
点赞 0 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
