什么是企业风险管理?如何将网络安全威胁纳入业务环境

网络安全风险现在是ERM流程的关键部分。信息安全专家应如何讨论网络安全风险并评估其影响。

安全漏洞/风险评估
Thinkstock

企业风险管理定义

企业风险管理(ERM) 是评估风险的过程,以识别对公司财务状况的威胁和市场机会。 ERM计划的目标是了解组织对风险的承受能力,对其进行分类和量化。

当公司着眼于企业风险时,传统方法是着眼于财务风险,监管风险和运营风险。如果汇率下降且利率上升,如果新药未获得FDA批准,或者您的主仓库被烧毁,会发生什么?

要进行计算,您需要考虑事件的潜在影响,并将其乘以该事件发生的几率。对于影响较小的事件,即使发生的可能性很高,也不会在很大程度上影响公司的总风险敞口,而对于影响较大的事件,即使发生的可能性很小,也可能造成灾难性的后果。

网络安全威胁格局所构成的风险越来越成为ERM等式的一部分,这对CISO和其他高级安全专业人员构成了挑战。量化网络安全事件的业务影响是一项非常困难的任务,即使不是不可能的事情,而量化此类事件的可能性甚至更加困难。

企业风险管理流程

一些公司正在这样做。例如,在Aetna,网络安全风险被视为公司企业风险管理框架中运营风险的一部分。这些风险是特定且定量的。实际上,每天的风险评分会被纳入 企业风险管理系统.

公民社会组织 Jim Routh不仅负责此过程,还是风险委员会的成员,该委员会为Aetna的ERM计划提供治理。他说:“安全对于有效的企业运营风险管理越来越重要。” “与企业风险管理和危机管理计划的紧密配合至关重要。”

Routh补充说,仅遵守合规性要求还不够。他说:“威胁参与者策略的快速发展要求控制设计和有效性的不断发展。” “法规遵从是必不可少的,但不足以实现企业的弹性。”

专注于业务影响是思考网络安全的另一种方式,它需要与战术上应对网络安全威胁的思维方式不同的思维方式。网络安全曾经只是为了防止攻击,而无论是发生还是未发生破坏。

德勤(Deloitte)战略防御和网络风险服务响应主管安德鲁•莫里森(Andrew Morrison)说:“现在,大多数组织都知道网络安全不是要解决的问题,而是要管理的风险。”&感动。他说:“大多数市场已经适应了这样一种事实,即不再发生攻击以及我们将如何处理它。这导致了完全不同的心态。”说。

企业风险管理框架

安全语言和风险语言之间经常存在脱节,这会使CSO很难在企业风险管理讨论中发挥有意义的作用。实际上,许多网络安全专家在被问到如何量化与特定缓解策略相关的风险降低时会感到沮丧,而是指向媒体报道有关违规,NIST和FAIR等网络安全框架,或在要求进行验证时的运营指标。

在ERM框架中,“风险”一词具有非常特殊的含义。像大多数人一样,来自技术方面的网络安全领导者往往将重点放在战术性的技术问题上,而不是底线影响上。例如,如果未修补漏洞,则攻击者可能会利用它来窃取数据。

但是,针对同一问题的以业务为中心的描述可能是,修补漏洞将减少对特定数据库的破坏的可能性,如果暴露该数据库,则会在业务损失,罚款和补救费用方面花费特定数量的资金。 。现在,公司可以确定缓解计划是否有底线-风险降低是否不够显着,或者数据库不够重要,并且公司最好在其他地方花费时间和金钱。

根据一些专家的说法,这是不可能的。 Genesis10的数字化转型执行副总裁Matt McBride表示:“没有计算公式来计算每个控件的实施降低了您的风险,该公式可帮助公司制定计划来解决诸如 补丁管理.

麦克布赖德说,相反,他帮助公司根据最大的威胁来确定风险的优先级。 “但是我们并没有基于实施特定工具或应用程序来衡量风险的具体变化。我们可以谈论将组织从高风险态势转变为中风险态势再到低风险态势。”

麦克布莱德说,没有任何网络安全框架可以量化由此产生的经济价值。 “根据我的经验,公司没有谈论降低风险的特定价值。

网络安全专业人员通常不谈论底线风险,而是尝试向董事会出售一个故事以证明预算合理。 Gartner,Inc.分析师Brian Reed说:“他们陷入了散布FUD的困境。每个人都知道那里有可怕的故事使您感到恐惧。”

里德说,是时候停止惊吓害怕的人了。他说:“第二个问题是,当网络安全技术人员出现在董事会成员和高级管理层的面前时,他们将注意力集中在许多令人讨厌的冷静上。” “这是技术人员和业务人员之间缺乏沟通的问题。这是我们历来遇到的相同问题。业务人员不了解技术问题,技术人员也不知道如何证明业务价值。”

因此,例如,一个CSO在高层管理人员面前谈论预算可能会成为新闻头条,例如影响其他公司的一个重大新漏洞,从而有机会深入探讨技术细节并产生一些情感影响。 “新闻有事吗?”宾夕法尼亚州咨询公司BTB 安全的首席信息安全顾问Matt Wilson说。 “这是否导致人们对我们的攻击更多?”

威尔逊说,如果他们试图在上面加上与风险相关的数字,那将是非常主观的。 “他们会就每个数字的含义提出一些指导原则,但诚实地是在人们对其进行评分时制定的。这与金融交易不同,他们可以计算欺诈的百分比,这是一个相当简单的指标50、60年或更长。”

总部位于旧金山的网络安全咨询公司One World Identity的负责人狄恩·利斯(Dion Lisle)表示,他尚未见过解决计算网络安全风险问题的任何人。他说:“大多数ERM框架都是围绕已知问题构建的。” “这个领域没有已知问题。每件事都是前所未有的。您如何计算前所未有的风险?”

他说,取而代之的是,民间组织专注于运营问题,例如降低成本。当需要评估风险或判断其安全计划的有效性时,他们会谈到一些轶事。莱尔说:“塔吉特(Target)曾发生过漏洞,某类帐户也曾发生过漏洞,已有五千万用户公开。” “但是没有人会说,'这是一个4000万美元的风险,我想要1000万美元来修复它。'我还没有听到我认识的人的谈话。没有足够的数据点可以计算出来。”

他说,这将需要从战术思维向战略思维转变,并需要加强金融精算专家与技术专家之间的合作。 “我认为这是一门新学科,IT和财务需要团结起来并进行协调。”

量化网络安全风险是一门不确定的科学

威尔逊和莱尔并不是唯一说要对网络安全风险进行准确评估为时过早的人。 “即使现在真正的大型保险公司也没有广泛推广 网络保险 AsTech首席安全策略师Nathan Wenzler说:“这些策略已经存在,并且正在变得越来越重要,但是没有静态的精算数据在各个方面都保持一致。”

供应商承诺风险记分卡怎么办?温兹勒说:“我认为这主要是炒作。” “兜售他们记分卡的供应商通常不会谈论这样一个事实,即确定风险因素,对所有资产进行分类并进行组织和记录非常耗时,这样您就可以将其输入这些系统之一。”

人工智能(AI)和机器学习可以提供帮助,但是仍然需要人工分析才能做出最终决定-这是很多艰苦的工作。但是,对于某些公司而言,付出的努力是有回报的。 “一些公司已经检查并确定了所有业务部门和数据的关键级别,并且他们处于更好的位置,可以从中自动获取报告,从而获得有关风险的唯一信息。” Wenzler说。 “但是,如果您想要这种观点,那就是大量的工作。我就这种事情与许多公司进行了磋商,但大多数公司还没有这样做。”

为了生成有用的分数和指标,公司必须对每项资产进行分类,包括数据,它们在公司中所扮演的角色,这些业务职能和数据的重要性,Wenzler说。 “如果您完成了所有这些工作,并将所有数据汇总在一起,则可以将其放入ERM系统中,该系统将压缩所有数据并为您提供计分卡。”

Enterprise Strategy Group高级首席分析师Jon Oltsik说,越来越多的CSO被要求这样做。 “正在发生过渡。”他说,风险数字是估计值,很难获得正确的数据并进行正确的评估,但是公民社会组织正在寻找方法。他说:“这就是商务人士想要看到的。”

云安全联盟首席执行官吉姆·雷维斯(Jim Reavis)表示,网络安全确实存在一些特定的挑战,例如第三方风险和黑天鹅事件,但这也发生在其他业务领域。他说:“在某种程度上,它更加不可预测。” “但是我们有很多数据,很多组织都在关注它。”

咨询公司Santa Fe Group的高级主管迈克尔·乔丹(Michael Jordan)说,网络保险行业的增长是如何计算网络安全风险的一个例子,该公司帮助企业评估第三方供应商。他说:“他们对自己愿意保证的东西以及为获得政策而需要采取的安全措施有了相当好的想法。”也有一些供应商将从外部衡量公司的风险,寻找暴露的系统,并评估将进行网络安全审核的公司。他说:“它正在变得越来越少的艺术,而越来越多的科学。”

如何计算网络安全事件的影响

业务影响是网络安全风险方程式的前半部分,并且可能是最容易的部分,尤其是对于大型公司而言。 SANS研究所新兴趋势主管John Pescatore说:“在《财富》 500强公司中,通常已经有企业风险管理计划。” “这是一个关键的起点。对于经营了一段时间的任何公司来说,对风险的业务关注通常都非常明确。”

但是,Pescatore补充说,网络安全方面可能尚未确立,这是CSO需要与业务部门合作的领域。他说,例如,FedEx习惯于计划圣诞节前后发生中断的风险,因为对于运输公司来说,这是一个繁忙的季节。但是在2017年, 勒索软件 这次攻击在6月份发生,估计造成了3亿美元的损失。他说:“那件事发生在他们身上。” “但是他们不习惯这样思考。”

受监管的行业具有合规性框架,可以帮助确定可能会对网络安全攻击造成影响的领域,例如零售业中的PCI,卫生服务中的HIPAA以及适用于金融公司,上市公司和政府承包商的各种框架,但是佩斯卡托雷说,这只是一个起点。

以PCI为例。支付卡行业安全标准委员会致力于保护信用卡信息。使收银机脱机的勒索软件攻击可能不涉及数据泄露,但仍可能导致公司严重的财务负担。佩斯卡托雷说:“这不会是PCI的问题,因为不会暴露任何数据,但是销售会下降,生产线会延长,这将对财务产生重大影响。”

佩斯卡托雷说,确定可能受到网络安全事件影响的关键业务流程是一项至关重要的工作,但许多工作仍未实现。 “许多公民社会组织对什么对业务至关重要的知识不足,并且还没有成功。”

如何计算网络安全事件的可能性

但是,计算事件的潜在影响仅解决了风险方程式的一半。计算事件的概率是同样困难的任务。

Sovos 合规可以帮助公司满足税收和合规性要求,它采用了由外而内的方法来解决此问题。他说,CSO约翰·斯特拉瑟(John Strasser)五年前来到公司,专门为整个公司建立信息安全计划,而信息安全ERM流程实际上为公司其他部门铺平了道路。

Strasser说,绝对有可能计算出特定漏洞或其他安全问题会对公司造成损害的风险。 “我肯定是这么说的,但也有一点理解,那就是公司必须使用一定程度的观察性和质量性协议。”

Strasser每年至少与公司首席执行官和CTO坐下一次,并确定网络安全事件的影响和可能性的风险值。他说:“从那里,您可以执行所有形式的计算。” “您可以将其转换为可降低实际风险评分的特定指标,从而可以随时间跟踪总体风险状况。它确实有助于使您所采取的措施更加清晰。”

风险计算的前半部分,即影响,是基于事件公司的直接和间接成本,例如丢失数据中心或一组数据。然后,为了计算事件的可能性,需要结合公共数据,内部输入和外部测试。例如,利用数据中心,公司可以查看有关地震和火灾发生频率的公开信息。

很难为网络攻击找到这些数据。为了获得这些数字,Sovos使用第三方渗透测试仪来判断某人闯入系统有多容易-花费的时间越长,所需的技能水平越高,攻击的可能性就越低。成功的。

Strasser说:“我认为没有人能判断出控制的功效。” “剩下的就是对控件的持续测试,漏洞扫描,蓝色团队和高级渗透测试。”

董事会何时才能停止担心网络攻击?

Deloitte 风险 and Financial Advisory合伙人Dan Kinsella表示,网络安全风险令公司董事会倍感沮丧。他说:“我经常与董事会讨论这个话题。”

过去,风险要在董事会之前提出,公司将提出应对方案,并且已经完成。 “主题已经解决,董事会再也不必谈论它了。”例如,如果有发生火灾的危险,公司可能会决定安装洒水装置并购买火灾保险。然后,除非有所改变,否则董事会可以继续讨论其他主题。 “我们好吗?我们很好,谢谢。网络风险并非如此。”

实际上,不仅网络威胁格局在不断发展,而且技术正以越来越高的速度渗透到业务的各个方面。现在,每个公司都是一家网络公司,每个业务流程都有一个网络组件。

他说:“网络风险将持续存在。” “这不是不可能的事情。在电影《黑客帝国》中,你有红色药丸和蓝色药丸。矩阵是真实的。我们拥有另一个世界。这是一个非常广泛和多样的风险领域,就在这里留下来。”

有关:

版权© 2018 IDG通讯,Inc.