首页 / 资源 / ISACA杂志 / 问题 / 2022 / 卷5 / 将网络安全风险作为澳门赌场官方下载风险来管理

将网络安全风险作为澳门赌场官方下载风险来管理

将网络安全风险作为澳门赌场官方下载风险来管理
作者: Tom Schneider, CISA, CISSP, HCISPP
发表日期: 2022年9月7日
相关: 优化风险应对|数字化|英文

网络安全风险是澳门赌场官方下载关注的关键问题. 勒索软件等网络安全事件有可能使组织的运营陷入停顿. 在美国, 美国证券交易委员会(SEC)正在提议修改规则,要求及时报告重大网络安全事件. 除了, 美国证券交易委员会正在提议要求公共组织披露他们是否有管理网络安全风险的政策, 他们的管理层在实施网络安全政策和程序中的作用, 他们的董事会对网络安全风险的监督, 以及个别管理人员和董事会成员的网络安全专业知识.1

同样,美国联邦贸易委员会(FTC)最近修订了其 保护客户信息的标准, 2 2022年12月9日生效. 该标准要求组织指定一名合格的个人负责实施组织的安全程序. 合格的个人必须至少每年提供一份书面报告,说明信息安全计划的状态和组织对保障措施的遵守情况. 合格的个人必须向董事会或类似的管理机构提交报告.

这些规则变更表明,管理层积极参与网络安全实施,董事会及其成员积极参与网络安全监督的期望越来越高. 他们还强调了网络安全管理的必要性.g., 首席信息安全官(CISO)或指定的合格个人)向董事会提供有用和坦诚的报告, 如果组织有的话, 或者是高管或所有权团队. SEC的规则变更仍处于提案阶段, 关于违规通知的拟议要求也存在争议. 然而, 越来越多地关注董事会和管理层对网络安全的参与是合理的,而且可能会增加. 为了帮助解决这个问题, 董事会和管理团队可以使用澳门赌场官方下载风险管理(ERM)来获得洞察力并组织他们的网络安全管理.

理解汇率机制

使用ERM框架检查组织的网络安全计划是评估整个组织如何管理网络安全的有效方法. 两个突出的ERM框架是特雷德韦委员会(COSO)的赞助组织委员会ERM框架3 以及国际标准化组织(ISO) ISO 31000 风险管理 的指导方针.4 在这些标准中发现的共同基础为检查网络安全风险管理和网络安全实践提供了坚实的基础. 在最高层次上, 框架描述了组织有效支持ERM所需的能力和管理风险的步骤. 两个ERM框架都有一些共同的基础. 澳门赌场官方下载拥有有效的ERM所需的能力包括:

  • 支持董事会和管理团队的ERM工作
  • 支持ERM的管理结构
  • 充足的资源,包括合格的工作人员和充足的工具和培训资金
  • 考虑内部和外部环境
  • 一个计划和承诺,以改善ERM程序随着时间的推移

澳门赌场官方下载评估和管理风险的能力包括:

  • 组织对其风险偏好的理解
  • 风险分析和管理的过程,包括:
    • 识别风险
    • 确定风险的严重性和优先级
    • 确定风险反应和治疗方法
    • 监测风险应对措施
    • 在澳门赌场官方下载层面跟踪风险

ERM视角下的网络安全

组织有效支持ERM所需的能力本质上与支持澳门赌场官方下载级网络安全所必须具备的能力相同. 澳门赌场官方下载为评估和管理澳门赌场官方下载风险而创建的流程可以也应该应用于网络安全. 一旦组织建立了ERM计划,它就可以利用它来管理网络安全风险.

如果将COSO ERM和ISO风险管理概念应用于网络安全, 一个组织需要确保:

  • 建立董事会和管理层的支持,包括:
    • 董事会理解其监督网络安全和网络安全风险的责任.
    • 董事会成员要么具有网络安全专业知识,要么聘请专家顾问.
    • 管理层建立并监督网络安全政策的执行.
    • 管理层定义并建模支持网络安全所需的预期文化和价值观
组织的能力 需要有效的支持 ERM本质上是一样的 作为它必须具备的能力 支持网络安全 澳门赌场官方下载级.
  • 有有效的组织架构,包括:
    • 首席信息安全官在管理结构中地位足够高,有权有效管理网络安全,并对组织承担必要的责任.
    • 报告结构并不妨碍首席信息安全官向管理层和董事会提供准确信息的能力. 如果首席信息安全官不直接向董事会报告, 首席信息安全官和董事会之间的管理层级不应过滤或歪曲首席信息安全官提供的信息. 
  • 提供足够的网络安全人员,并为工具和培训提供资金.
  • 考虑组织环境对网络安全的影响:
    • 评估组织战略对网络安全的影响,并通知首席信息安全官.
    • 评估了网络安全对运营的积极和消极影响.
  • 向董事会和高级管理层报告网络安全风险和处理方法

将网络安全正式纳入组织的澳门赌场官方下载风险分析和管理过程,需要将网络安全风险作为澳门赌场官方下载的风险进行管理. 这种方法有相当大的优势,包括领导层认识到网络安全风险不仅仅是技术人员的一个单独和神秘的问题.5 正如最近美国证券交易委员会和美国联邦贸易委员会规则的变化所证实的那样,网络安全风险是澳门赌场官方下载风险.

将ERM应用于网络安全的另一个好处是风险偏好和风险承受能力可以应用于网络安全风险. 与其他类型的风险一样,组织为多大的风险是太多设定了一个目标. 他们还可以设定风险管理范围的目标. 这是, 低于某一水平的风险是可以接受的,高于某一阈值的风险则被认为需要额外的处理以使其处于可接受的范围内. 通过将网络安全风险纳入风险登记册来跟踪网络安全风险,组织可以监控网络安全风险,并深入了解风险是随着时间的推移而增加还是减少. 关键风险指标(KRIs)可以在风险即将超过预定阈值时向组织发出警报. 风险处理计划应指定一个负责人,负责确保措施的执行,以减轻风险并将其保持在可接受的范围内.

不投入型领导的后果

康提勒索软件对爱尔兰卫生服务管理局(HSE)的攻击为缺乏澳门赌场官方下载管理和网络安全监督的组织带来的后果提供了一个清晰的例子. 6 美国卫生与公众服务部(美国卫生和公众服务部)信息安全办公室和HSE的报告显示,缺乏战略治理和监督(例如.e., IT和网络安全的ERM)极大地阻碍了本可以检测和响应攻击的技术控制和流程的实施.7, 8 卫生与公众服务部的重要发现包括:

  • 没有合适的人选. “HSE在网络安全方面没有一个负责任的负责人, 事件发生时的高级行政人员或管理人员.”
  • 没有支持网络安全的组织结构, 例如,成立一个专门委员会,负责指导和监督网络安全,以及减少HSE网络安全风险暴露所需的活动.”
  • 没有考虑内部和外部环境的网络安全风险,也没有使用ERM管理网络安全风险. “HSE缺乏网络安全论坛,阻碍了对细粒度网络安全风险的讨论和记录,以及识别和提供缓解控制的能力.”
  • 缺乏支持网络安全的结构. “HSE没有一个集中的网络安全功能来管理网络安全风险和控制."
  • 没有提供必要的资源. “负责网络安全的团队资源不足是一个众所周知的问题.”9

这些发现可以直接关系到共同的 COSO和ISO的基础知识和能力 风险管理指引.

任何对这些重要信息的威胁 (i.e.(网络安全风险)是一种澳门赌场官方下载风险 需要由澳门赌场官方下载通过管理 团队合作,董事会和 高级管理人员.

结论

因为IT及其管理的数字化信息对现代组织至关重要, 他们必须保证保密, 信息的完整性和可用性是澳门赌场官方下载的必需品. 任何对这一重要信息的威胁(例如.e., 网络安全风险(网络安全 risk)是一种澳门赌场官方下载风险,需要澳门赌场官方下载通过团队合作进行管理, 由董事会和高级管理层共同领导. 美国联邦贸易委员会最近的监管改革和美国证券交易委员会提出的改革建议表明,这两个机构都在起草与ERM概念相似的网络安全规则, 包括董事会对网络安全的监督,以及高级管理层实施网络安全政策和程序的责任,并为信息安全人员提供足够的培训,使他们能够应对相关的安全风险. 不管一个组织是否受制于它们, 这些规定表明,澳门赌场官方下载及其管理团队越来越重视对网络安全的有效管理. 组织可以使用ERM作为工具来帮助执行这一关键任务.

尾注

1 美国证券交易委员会(SEC) 网络安全风险管理、策略、治理和事件披露2022年2月,美国; http://www.sec.gov/rules/proposed/2022/33-11038.pdf
2 美国联邦贸易委员会, 16 CFR部件 314:- 保护客户信息的标准,美国,2021年12月; http://www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-314
3 美国特雷德韦委员会赞助组织委员会(COSO), 《澳门赌场官方下载风险管理指引》,2022年4月, http://www.coso.org/SitePages/Guidance-on-ENTERPRISE-Risk-Management.aspx?web=1
4 国际标准组织(ISO), ISO 31000风险管理,瑞士,2022年5月; http://www.iso.org/iso-31000-risk-management.html
5 国家标准与技术研究所(NIST)国家网络安全教育工作组倡议, 网络安全是每个人的工作2018年10月,美国; http://www.nist.gov/system/files/documents/2018/10/15/cybersecurity_is_everyones_job_v1.0.pdf
6 格雷格,我.; “Conti Ransomware Attack on Irish Healthcare System May Cost Over $100 Million,” ZDNet2022年2月24日 http://www.zdnet.com/文章/成本- -孔蒂ransomware -攻击- -爱尔兰医疗系统上可能达到- - 1亿/
7 美国卫生与公众服务部(美国卫生和公众服务部)信息安全办公室 从HSE网络攻击中吸取的教训2022年2月3日,美国; http://www.HHS.gov/sites/default/files/lessons-learned-hse-attack.pdf
8 普华永道(PwC)、健康服务执行(HSE)委员会、 对HSE的网络攻击, 2021年12月; http://www.hse.ie/eng/services/publications/conti-cyber-attack-on-the-hse-full-report.pdf
9 Op cit 美国卫生和公众服务部

Tom Schneider, CISA, CISSP

是网络防御实验室的网络安全咨询服务经理, 他目前的工作重点包括网络安全项目评估吗. 他在IT技术支持、网络安全和安全方面拥有丰富的经验 治理. 目前,他的工作重点是帮助客户将网络安全视为一种 组织问题,而不仅仅是技术问题,并帮助他们构建 有效的网络安全计划.