网络安全是企业的一项重要任务. 但是企业如何从整体上评估和理解他们的网络风险呢? 会让库马尔, 存网络/技术风险主管, 解释存如何从业务线级别评估其风险状况,并以整体风险管理方法将该信息扩展到整个组织.
鉴于网络安全对组织整体运作的关键性质, vnsr威尼斯城官网登入组织(fso)开始衡量和管理网络风险,将其作为整体风险组合中的关键风险之一. 虽然fso开始了解整个业务范围内的网络风险, 对单个业务线(LOB)层面的网络风险格局的理解并没有以同样的速度发展.
在存, 我们的企业网络风险评估(ECRA)使每个存 LOB能够更好地了解其独特的网络安全风险组合. ECRA是为了满足CFTC和IOSCO的监管要求,其中包括通过经验数据和缓解流程来了解潜在的网络风险,从而帮助降低风险.
相关:金融管理机构的网络威胁和数据恢复
识别LOB网络风险包括分析先前的网络风险评估, 事件, 问题, 风险控制自我评估(RCSA), 漏洞数据和, 跨企业的威胁,并基于业务上下文派生特定于lob的视图, 威胁形势和技术足迹.
这种方法包括对数据进行自底向上的分析,以及对LOB中的风险进行自顶向下的验证. 一旦将网络风险包含在业务风险组合中, lob能够将其现有的业务和操作风险管理实践扩展到网络风险管理,并在整个风险组合中采用整体风险管理方法.
网络风险评估的价值
虽然公司可以执行一些安全和风险评估, 他们很难将不同的结果整合到一份报告中,向企业通报他们面临的最大网络风险.
ECRA通知每个lob潜在的网络风险,并使他们更好地了解这些风险, 采用定量和定性方法, 并最终提供信息,使每个LOB能够设定网络风险优先级.
自下而上的数据分析和自上而下的公司风险水平评估是并行进行的, 全面了解风险和控制环境, 制定风险情景并提出优先建议.
自下而上的分析包括从几个经验来源收集风险数据, 然后进行标准化处理. 基于对这些数据的理解,对总体风险进行分类. 结果是一个风险目录,它构成了明智决策和下一步的构建块. 风险目录每年修订一次, 在必要时增加风险,并提高清晰度,以跟上新出现的威胁.
监管机构已开始关注网络风险对整个证券业的威胁. 遵守规则和命令, 根据监管要求映射风险, 包括隐私和第三方风险, 进行有根据的分类.
相关:网络弹性和操作风险
这就是自上而下的评估开始的地方. 关键利益相关者, 包括业务运营和vnsr威尼斯城官网登入负责人, 优先考虑已识别的网络风险类别,并根据需要改进语言. 然后进行知情的讨论,并评估相关风险. 然后根据LOB输入最终确定风险排序. lob总是可以根据他们对企业的了解覆盖风险的堆栈排序. 这也可以作为组织参与风险评估和减轻风险工作的有用练习.
在自上而下的评估中, lob可以检查威胁库, 其中包含有关威胁行为者的重要信息, 复杂程度, 潜在动机及其对LOB的影响. 这个练习可视化了不同的操作和网络风险是如何结合在一起的,以及如何最好地管理这些风险. 例如,2019冠状病毒病为网络风险在许多公司显现创造了机会. 由于突然切换到虚拟环境,在入职过程中存在较低的控制,因此可能会雇用恶意行为者. 拥有威胁库和场景规划练习对于执行ECRA规划至关重要,并允许公司根据需要进行调整.
在自顶向下和自底向上的分析之后,有一个vns6060威尼斯城官网固有风险的讨论. 第一次在没有任何控制的情况下观察风险是一个漫长的过程, 并且应该经常这样做, 因为风险不是一成不变的. 例如,Covid-19改变了劳动力的状态,从现场,到家里,再到混合. 固有风险发生了变化, 增加风险的是需要额外的设备容量和对公司设备和网络的监控,并说明经常评估固有风险的好处. 然后根据固有风险和对控制环境的理解计算剩余风险. 了解控制环境有助于评估投资如何帮助降低环境风险.
最后, 趋势分析是高级管理人员了解个人风险的关键工具, 每一项练习都有助于利益相关者进行未来的规划和支出优先排序工作. 总之, ECRA帮助vnsr威尼斯城官网登入机构在网络风险管理方面做出更明智的决策,并在整个风险组合中采取全面的风险管理方法.
库马尔最近在全球弹性联合会2021年安全虚拟峰会上发表了讲话 & 第三方风险.