观点 | 面对网络风险,组织应当何去何从?

网络风险通常是组织的一大盲点。如今,董事会和高层领导们越来越关注其组织内如何管理网络风险,围绕网络风险展开的主动和被动措施对组织风险情况的影响也越发得到重视。

网络风险通常是组织的一大盲点。如今,董事会和高层领导们越来越关注其组织内如何管理网络风险,围绕网络风险展开的主动和被动措施对组织风险情况的影响也越发得到重视。

 

网络安全团队承担支持日常运营的艰巨任务,并随时做好准备应对潜在的攻击者。在运行项目和运营责任中,很难权衡其危急程度与响应能力。团队常常只专注于提高他们成熟度评分的项目,但却并不一定能说出安全系统真正的弱点在哪里。政策或治理方面的高成熟度评分也许会在董事会报告中令其增色,但是对于那些致力于引导组织大方向的人来说,这些漂亮的评分或许已经失去了本来的意味。

 

 

首先,重要的是要了解网络风险与其他业务风险没有什么不同。它是整个组织中存在的威胁和漏洞的集合,其中任何一个漏洞或威胁如果被利用,都可能导致财务损失、声誉受损和监管问题

 

术语“风险”和“威胁”并不相同,不应互换使用。在具体研究威胁和漏洞时,重点应该更多地放在组织创造或使用了哪些技术或流程,这些技术或流程具有潜在的脆弱性,并为滥用创造了“机会”。然后,我们可以将威胁叠加为潜在的载体或方法,以说明如何利用这些漏洞或机会。

 

在沟通影响方面,我们建议在寻求董事会对网络风险管理方式的接受和认同时,尽量简洁化,将重点放在重要影响的向上报告上。组织内常见的问题是,在如何降低网络风险、依赖哪些控制措施、如何真正验证这些控制措施的效果,以及如何最大化安全投资的回报率等方面,经常陷入困境。 

 

什么构成了业务的核心?当组织对此没有明确的一致意见时,经常会出现这种情况。如果所有团队之间没有协调一致,我们会看到围绕安全投资的问题越来越多,而有关组织风险的关键问题却得不到解答。归根结底,安全团队需要考虑并充分了解投资回报率,尤其是那些在更专注于业务的高管面前无法捍卫其投资决策的人。

 

 

如何绘制组织网络风险地图?

 

网络风险是一个广泛而深入的主题,没有单一的流程、技术或解决方案可以将其降低。基于成熟度的项目是安全项目总体方向的关键,但它们不应该是安全项目的唯一驱动力。相反,一个合理设计的项目是一种能力的协调,需要定义和调整组织的方向和容忍度,并将其与不断变化的威胁环境联系起来。以下是开发您的规划时需要记住的一些关键要点:

  • 了解最重要的事项:花时间了解最有可能对组织产生不利影响的关键业务资产,并预防组织受到损害时继续经营。

  • 定义和调整整个组织的网络风险承受能力:制定组织网络风险的自上而下的视图,明确执行报告要求,建立和定位组织风险容忍度。

  • 识别和建模关键系统的安全架构风险:将关键任务系统分解为其组件和连接,识别威胁和漏洞,为每个威胁分配风险,并与组织对影响的容忍度保持一致。

  • 识别网络风险、关键合作伙伴和投资组合:识别依赖度高的合作伙伴和组织,并进行尽职调查,以评估集成和供应链风险,这些风险在暴露组织的同时,也将风险状况推高到不可接受的风险水平。

  • 识别运营漏洞并与组织风险容忍度保持一致:将漏洞和可利用程度与对关键任务系统的潜在危害联系起来,并根据定义的网络风险容忍度进行验证。

  • 验证您的安全能力是否朝着正确的方向发展:对照最佳实践制定现有的安全项目计划,并验证与您所在行业和运营区域的标准实践的偏差。

 

成熟应对网络风险的能力并非一蹴而就,相反,它是一个建立在自身基础上的持续过程。为了成功管理网络风险,组织需要重新思考和更好地识别对组织核心的威胁,从网络整合这些信息,通过信息了解组织运营风险概况。恰当的网络风险管理的目标是帮助发现组织最应该关注的、能够造成重大影响和真正风险的威胁和漏洞。