為了有效地管理IT風險,這兩種方法都有其應(yīng)用空間,因為每種方法都有其好處。
控制合規(guī)性
控制合規(guī)性方法的一個主要好處是增加了對技術(shù)產(chǎn)業(yè)中存在的低水平控制缺陷的理解和認識。正如我們從各行各業(yè)的各種成功的后門進入所看到的,它往往是一個未修補的系統(tǒng)或是一個小的配置錯誤,使得黑客能夠進入。因此,對當前控制缺陷的深入了解可以提高檢測到可導(dǎo)致后門攻擊的小型可利用漏洞的概率。
此外,通過對控制措施進行更常規(guī)化的評估(例如,基于ISO27001的評估),可以減少遺漏細節(jié)的范圍。通過使用行業(yè)最佳實踐框架來評估控制,至少可以放心地知道所評估的控制是保護某些安全域所廣泛需要的控制。此外,對于經(jīng)驗不足的風險管理人員來說,這種方法也提供了一個安全的工作基礎(chǔ),并提供了一定程度的指導(dǎo),至少在安全領(lǐng)域是這樣。
我已經(jīng)看到了這些類型的行業(yè)所公認的信息安全框架被用作技術(shù)風險框架的基礎(chǔ),但這又給我提出了一個問題:如何識別不屬于安全領(lǐng)域的控制,更重要的是,如何識別相關(guān)的業(yè)務(wù)風險?根據(jù)我的經(jīng)驗,一個嚴格的以控制為重點的評估可能會錯過企業(yè)的真正風險敞口。即使是一個非常明確的路徑也不能提供一種能夠識別新的和正在出現(xiàn)的風險的方法,因為這些風險是預(yù)先確定的。
在我工作過的每個組織中都存在著信息安全風險。但它們還不是企業(yè)所面臨的唯一與技術(shù)相關(guān)的風險。
作為一種技術(shù)風險管理方法,我對控制合規(guī)性的主要關(guān)注點在于風險計算階段,在此階段,無效或缺失的控制都會被自動歸類為風險。簡單來說:沒有或者無效控制=風險。在我看來,這是完全不準確的,給利益相關(guān)者提供了一個虛假的故事,而且是有問題的,因為資源被投入到了“風險”之中,而這些資源本可以更好地被用于其他地方,以降低公司的風險。
風險管理
如果一個技術(shù)部門的運營風險的計算方法與公司其他部門的沒有什么不同,會有什么影響?在英國,金融機構(gòu)通過使用風險和控制自我評估(RCSA)來計算操作風險,如新巴塞爾協(xié)議所概述的。RCSA授權(quán)主題專家(SME)可自行定義其領(lǐng)域內(nèi)所存在的風險,考慮為減輕已定義風險而實施的控制措施的運行有效性,然后評估這些控制措施對總體剩余風險的影響。這與控制合規(guī)性方法的不同之處在于,在定義剩余風險之前,要首先考慮風險,然后再考慮相關(guān)控制的運營有效性。
控制合規(guī)陣營擔心,RCSA方法中的自定義風險可能會造成風險知識方面的差距,因為風險不是預(yù)先定義的,而是源自行業(yè)控制框架。還有一個相反的論點:由中小企業(yè)定義并由高質(zhì)量技術(shù)風險經(jīng)理所支持的風險可能與公司和技術(shù)部門最相關(guān)。
根據(jù)我的經(jīng)驗,RCSA方法提供了一個堅實的框架來挑戰(zhàn)風險以及相關(guān)的紅/黃/綠狀態(tài)。RCSA的靈活性為其他風險管理活動(如風險事件、問題管理和審計結(jié)果)提供了基礎(chǔ),并確保了能夠?qū)崿F(xiàn)穩(wěn)健的風險管理。其結(jié)果是,基于這種鼓勵的談話類型,可以對技術(shù)部門內(nèi)部的實際風險有更深入的了解。
對我來說,在IT中使用組織的運營風險管理框架的最大好處之一是它是用業(yè)務(wù)術(shù)語編寫的。最重要的是,技術(shù)風險的表達方式與公司內(nèi)的其他部門相同。這有助于董事會和其他主要利益相關(guān)方更好地理解他們面前的技術(shù)相關(guān)信息。這可以推動董事會對關(guān)鍵技術(shù)計劃的支持和認可。
相比之下,向董事會提交一系列低水平、無效的控制措施并將其歸類為風險,與潛在的負面業(yè)務(wù)影響相去甚遠。打個比方:說X位置的10臺機器沒有打補丁,與說惡意軟件風險的增加可能導(dǎo)致業(yè)務(wù)中斷是兩碼事。后者對關(guān)心公司福利的人來說更有意義。
混合方法:使用兩種方法來加強整體結(jié)果
與大多數(shù)論點一樣,雙方都有自己的正確觀點。這就是為什么我認為技術(shù)風險經(jīng)理應(yīng)該堅持風險管理,信息安全治理經(jīng)理應(yīng)該堅持信息安全控制的應(yīng)用和治理的原因所在。
確保遵守業(yè)界所認可的信息安全框架對任何組織來說都有很大的價值。而信息安全團隊對此負有責任。安全團隊的控制合規(guī)工作應(yīng)確定風險領(lǐng)域,并將其納入RCSA的總體文件中,以告知信息安全的相關(guān)風險和現(xiàn)有控制的運行有效性。當在這種情況下概述信息安全風險時,任何所需的補救工作都是在程序級別上完成的,而不是以逐個控制的方式零碎完成的。未經(jīng)授權(quán)的訪問風險超出了容忍范圍?那就讓我們啟動一個身份和訪問管理程序來有效地解決風險。
信息安全只是IT中可能面臨風險的一個領(lǐng)域。與管理IT部門相關(guān)的財務(wù)風險如何?無效變革的風險又如何?
當信息安全治理經(jīng)理正在運行一個強大的計劃來確保在信息安全中能夠適當?shù)貞?yīng)用控制時,技術(shù)風險經(jīng)理卻坐在整個技術(shù)部門,然后問這樣一個問題:“這對業(yè)務(wù)來說意味著什么?”RCSA有助于使用與公司其他人相同的語言來表達IT風險,確保所有高層都能夠理解。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號