风险评估可帮助组织识别、减少和管理风险,以防风险再次发生。为此,他们需要在技术和流程方面投入大量的it预算,以发现和评估这些风险、确定其影响并通过可观的投入修复风险。
此外,企业越来越依赖第三方供应商提供风险评级、漏洞扫描和互联网表面扫描,使其对自身组织的安全状况产生了极大的恐惧、不确定和怀疑。若要撇开所有这些噪声去评估实际风险,需要采用一种新的思维方式来考虑风险,考虑如何应对这些风险以及如何进行积极的风险管理。
什么是风险评估?
首席级高管需要回答一系列问题,这些问题的围绕点在于需要多少投入来消除、预防和降低风险以及如何以明智的方式做到这一点。要注意的是,我们通常认为风险与(负面)事件发生的概率及其发生的量级(成本)密切相关。此类问题包括:
●鉴于威胁数量的不断增加,如何调整风险偏好?
●我们应该如何分配精力和资源来应对这些威胁?
●我们应将有限的it风险或网络安全预算用于哪些领域?
●我们的安全支出需要在成本/收益之间进行哪些权衡?
●对于所投入的资金,我们可以在哪些领域获得最大的风险降低收益?
不同的风险管理方法
让我们了解一下几种典型的it风险管理方法。
一种较为流行的风险评估方法是确定组织是否具有适当的控制措施来管理风险。这就需要针对行业标准进行评估,例如国际标准化组织的iso/iec、美国国家标准技术研究院的网络安全框架、统一合规框架或云安全联盟的安全指南。
在许多情况下,进行此类评估的动因在于监管要求、内部审计或合规计划。执行控制评估通常是强大的安全与合规治理计划的一部分。不过,确定正确的控制措施是否到位只能解决问题的一个方面。它不一定能确定主要风险或这些风险的重大影响。重要的是组织,尤其是那些受监管行业的组织,必须确定它们是否存在控制缺陷。这些是了解这些控制措施是否有效的关键所在。它们能否从实际上预防或减缓风险?它们能够识别风险程度或如何降低风险?
成熟度评估是否适合您?
另一种流行的风险评估方法是检查网络安全或it风险计划的整体成熟度。成熟度评估之所以受欢迎,是因为这是根据业内同行和期望的运营状态对组织进行基准测试的有效方法之一。能力成熟度模型集成方法已被多个行业的许多公司所采用。组织已经意识到,尽管他们可能采取了适当的控制措施,但他们并不确定这些措施的有效性、团队是否具有所需的技能和知识,以及他们能否以最佳的方式利用技术和自动化。他们是否采用了制度化实践、是否具备利用数据做出基于事实的决策的能力?流程能否以有效和标准化的方式运行?
成熟度评估可以解决这些问题。不过,这种评估的作用也是有限的,因为它们会进行定性和主观分析。尽管它们是向前迈出的良好一步,而且能够让组织思考需要改善之处,但它们无法根据基于事实的决策标准对这些改善点进行优先排序。这些类型的评估无法让决策者了解他们目前面临的风险程度。此外,它们也无法明确地告诉组织其是否具有适当的支出级别和分配。组织仍然需要解决其网络安全支出能否从实际上减少风险敞口和预期损失这一问题。
量化风险管理方法
若要解决这一问题,组织需要采用一种更加量化的方法来识别和降低风险。该方法采用高级威胁情报技术、协作服务和漏洞分析来识别主要风险。若要更好地了解风险敞口和预期损失,公司需要了解其威胁。以此为起点,安全团队才能够更好地了解威胁实施者,组织才能够更好地评估其能力、资产目标和潜在影响。
一旦组织对其最大的风险敞口进行了调整,他们便可应对与风险相关的第二个挑战。如果能够意识到风险,会产生什么重大影响?请注意我们在前面讨论的风险定义。风险管理旨在降低事件损失或负面影响的不确定性。若要管理风险,业务领导者需要了解他们所承担的风险、事件发生的可能性以及事件一旦发生后产生的影响。
若要更好地降低这种不确定性,组织需要采用量化的风险管理方法。这种方法基于信息风险因素分析模型。这种方法解决了风险的两个关键组成部分,即:可能的频率和可能的量级。通过量化风险,您可以使用成本/收益分析做出基于事实的决策,决定哪些投资可提供最佳的安全投资回报(即降低风险)。在当今威胁不断增加、威胁相关噪音不断增多以及预算不断减少的时代,采用量化风险评估方法已迅速成为管理风险的首选方法。
来源:the fair institute
通过采用基于风险的量化方法,组织可以更好地专注于投资,解决关键技能差距,评估其控制框架的有效性并为其安全支出提供业务合理性。这种方法可以降低实际风险,并将投资重点放在最主要的问题上。通过量化风险,团队可以了解风险发生时风险敞口的实际成本和预期损失。从根本上说,首席信息安全官和首席信息官可以使用这些数据点。他们可以为董事会成员和风险执行委员会成员提供以下基于数据的答案:
●我们知道我们面临的最大风险而且已对其进行了量化。
●我们了解即将出现的威胁的不确定程度。
●如果发生风险事件,我们对对其实质性影响有基本的了解。
●考虑到当前的剩余风险,我们知道预期的损失。
●我们可以预测事件发生的可能性。
●我们可以提供基于数据的业务合理性来管理这些风险。
安全:业务问题和技术问题
网络安全不再仅仅是一个技术问题,也是一个业务问题。组织越能以量化的方式解决安全风险和挑战,他们就越能将更广泛的关键利益相关者纳入到风险降低流程之中。企业现在可以根据对实际风险及其影响的了解来调整风险阈值。毕竟,风险管理的目标是在不确定的条件下做出更好的决策,进而降低风险。
了解ibm security如何通过战略与风险管理服务更好地为业务决策赋能。