Gartner 将 IT 风险定义为“可能导致计划外、负面的业务成果,包括 IT 故障或滥用”。负面的业务结果可能是由于由此产生的中断而导致的任何财务或声誉损失。
IT 风险基本上是业务数据、关键系统和业务流程的最大威胁,与组织内 IT 的使用、所有权、运营、投入、影响和采用有关。网络风险不仅包括IT风险,还包括几乎任何基于外部技术的风险。网络风险涵盖一系列关键业务领域,包括但不限于:
安全性 — 由于未经授权的访问或使用而危及业务数据的机密性或完整性
可用性 — 业务运营所需的 IT 系统无法访问或访问受限
合规性 — 不遵守法律法规(例如,数据保护)
在这篇博客中,我将讨论一种量化风险的简单方法,该方法可以进行调整以满足组织的需求。风险管理的一个重要方面是应用它的一致性。无论你选择哪种量化和管理方法,你都应该(在内部)发布它,在整个组织中不成文地使用它,并不断改进它。
本文的章节包括:
量化风险
方法论
框架
第三方工具
目的
风险管理的目的是帮助利益相关者做出明智的业务决策。它为评估和量化风险以及确定其治疗的优先级提供了一个框架。
量化风险
风险管理的第一步是根据事件的概率和由此产生的影响来识别和量化潜在风险。量化为评估和做出基于风险的明智决策提供了一种衡量标准。风险定义为在给定时间单位内发生损失事件的概率(可能性)乘以该损失事件(影响)导致的预期损失幅度。
基本风险模型
概率实际上是在给定时间范围内(例如,每年)发生损失事件的频率。影响是损失的可能程度。这包括主要损失,如财务损失以及次要损失,可能是声誉或间接经济损失。
挑战在于如何一致有效地估计概率和影响。
方法论
从本质上讲,风险被计算为概率X影响。概率只是威胁(导致事件)发生的可能性。在此基本方法中,对以下各项使用 1到 5 个刻度进行展示:
影响通过多个维度(主要和次要)进行衡量,包括财务、声誉、运营、时间和数据泄露。风险计算为概率 X 影响,从而生成左侧看到的 5x5 矩阵。
彩色底纹指示风险级别:低、中、高和严重。处置(行动方案)应基于相应的风险水平。
估计概率
估计概率具有一定程度的“直觉”感觉,但应基于你的组织和业务部门的经验,以及:
攻击者的动机和能力
暴露于可能的攻击者
意外来源:地理、天气等
人为错误和设备故障
单个漏洞和汇总漏洞
现有控制措施的有效性
现有系统的可见性(你是否能够快速检测零日勒索软件是否正在运行?)
等等...
下表使用 1到5 的等级来估计概率(0 表示它不会发生):
概率评分
上表可以进行调整,以适应你自己组织的情况。请注意,FAIR 威胁事件频率只是影响估计总体概率的因素之一。
估计影响
必须在适用的主要和次要维度上估计影响的大小。这里使用了类似的 1到 5 个等级:
影响评分
在考虑多个维度的情况下,通常选择最高分(即,如果经济损失是重大的(4),而其他维度较低,则通常选择4分)。
每个组织应选择并发布适合其组织规模和职能的评分系统。例如,一家小公司损失20万美元可能是重大损失,而这种损失对于大型企业来说可能只是中等损失。
风险处置
为给定的威胁和资产计算风险评分后,下一步是确定如何处理风险。下表总结了 5 个基本选项:
风险处置方案
只需识别未经处理的风险。随后,可以使用处置组合将风险降低到可接受的水平(称为“残余风险”)。或者风险可以简单地按原样接受。
行动过程通常(但并非总是)由风险的严重程度以及组织自身的风险偏好决定。下表根据风险级别提供了常见的行动方案:
风险处置指南
接受处置后的风险或残余风险是由业务部门而不是IT组织完成的(除非风险不会影响IT以外的任何事情)。例如,关键服务器的勒索软件攻击将导致 IT 中断,从而影响业务。因此,企业必须成为接受任何风险的一方,最严厉的风险接受由 CXO 级别的高管完成。
降低风险可以包括各种各样的行动,从网络工具到网络保险。
风险接受
运营或提供具有已知漏洞的产品或服务始终是基于风险的业务决策。企业安全(和产品安全)的作用主要是帮助识别风险,推动风险降低,并就产品或服务的安全配置文件和使用准备情况提出(强有力的)建议。最终(除非存在监管问题),风险接受决定取决于相应的业务主管(例如CIO或首席产品官)。风险越高,所需的高管审批的资历越高。
在某些情况下,首席信息安全官、首席数据官 (CDO) 或首席产品安全官 (CPSO) 可以自行决定要求额外的产品风险审批(即,由法律团队甚至 CEO 签字)。
风险登记
与高级管理层(即每月)一起跟踪和定期审查风险非常重要。风险登记册为实现这一目标提供了一个基本框架。
你可以使用 SharePoint 列表(为此目的,该列表运行良好,包括关联的表单)、使用电子表格(不是很好)或使用第三方工具来构造风险登记簿。典型的风险登记簿包括以下字段:
风险登记模式
该登记册中的字段集可以进行调整,以满足你的业务需求。例如,产品风险登记簿将包括产品名称和受影响的版本。
示例:勒索软件
考虑勒索软件攻击风险。假设对组织来说,成功攻击的可能性只有中等 (3),但影响可能是毁灭性的 (5)(即持续的业务中断)。这将导致风险评分为 15,计算公式为 概率 = 3 乘以 影响 = 5。
在估计风险时,假设IT系统完全防范攻击或低估攻击范围是不负责任的。基于业务的勒索软件很少仅针对单个资产。相反,攻击者通常在发起勒索软件攻击之前在组织内建立强大的立足点,因此影响严重,并产生支付赎金的紧迫性和动力。当然,这意味着还有其他风险,例如导致此风险的系统入侵。
此风险的缓解措施可能包括增加安全措施、隔离备份、网络保险等。这种缓解措施的成本(作为业务决策)是合理的,因为风险降低了。有效的缓解措施(如隔离的安全备份)可以将影响分数降低到 3 或 2(具体取决于还原系统所需的时间)。通过改进检测,概率分数可能会降低。
框架
有许多风险管理框架为识别,量化和处理风险提供了卓越的指导和技术。FAIR和NIST框架相对容易使用,尽管由于委员会框架的影响,文档偶尔会变得迂腐。
FAIR
FAIR 风险管理框架
FAIR(信息风险因素分析)是一个实用的框架,用于理解,衡量和分析网络安全和运营风险,并最终实现明智的决策。FAIR研究所是一个非营利组织,致力于推进衡量和管理信息风险的学科。
FAIR 框架建立在基本风险模型的基础上,将概率和影响计算分解为损失事件频率(LEF)(概率)和损失幅度(LM)(影响)下的组成部分。下图说明了FAIR风险本体:
FAIR本体论的风险分解
Ken Nguyen 在FAIR简介中提供了简要概述。《衡量和管理信息风险:FAIR 方法》一书可以在亚马逊上以不到40美元的价格购买。
NIST RMF
美国国家标准与技术研究所 (NIST) 的风险管理框架 (RMF) 提供了一个将安全、隐私和网络供应链风险管理活动集成到系统开发生命周期中的流程。基于风险的控制选择和规范方法考虑了适用法律、指令、行政命令、政策、标准或法规带来的有效性、效率和约束。
NIST RMF 7 步骤流程包括:
1、准备 — 使组织做好管理安全和隐私风险准备的基本活动。
2、分类 — 根据影响分析对处理、存储和传输的系统和信息进行分类。
3、选择 — 选择 NIST SP 800–53 控件集,以根据风险评估保护系统。
4、实施 — 实施控件并记录控件的部署方式。
5、评估 — 评估以确定控制措施是否到位,是否按预期操作并产生预期的结果。
6、授权 — 高级官员做出基于风险的决定,授权系统(运行)。
7、监视 — 持续监视控制实施和系统风险。
下图为扩展的NIST风险管理框架提供了出色的视觉效果:
NIST风险管理框架(信用未知)
有关详细信息,请参阅:
NIST SP 800–37 Rev. 2 信息系统和组织的风险管理框架:安全和隐私的系统生命周期方法
NIST 风险管理框架概述
ISF IRAM2
信息安全论坛的IRAM2是评估和处理信息风险的独特方法。它包括为风险从业人员实施六阶段流程的指南,包括范围界定、业务影响评估、威胁分析、漏洞评估、风险评估和风险处理。
该模型非常简单,包括相关工具。你必须是 ISF 的成员才能访问 IRAM2 模型。ISO 31000:2018 认证
ISO 31000,风险管理指南,提供了管理风险的原则、框架和流程。虽然ISO 31000不能用于认证目的,但它确实为内部或外部审核计划提供了指导。标准套件包括:(1)ISO 31000:2018风险管理指南; (2)IEC 31010:2019风险评估技术;和(3)ISO指南73:2009风险管理词汇。
该框架概述了一个5 + 1步骤过程(+1正在审查,监控和改进):
ISO 31000 风险管理
ISO 系列文档必须单独购买。
第三方工具
手动识别和跟踪风险充其量是乏味的。然而,令人惊讶的是,许多公司使用电子表格和SharePoint 列表来跟踪网络风险。这可以很好地适用于小型企业,但不能扩展。在实践中,有成千上万的潜在威胁,这些威胁因每个IT资产而异。为了真实了解威胁形势,需要实现自动化。
部分 IT 风险管理 (ITRM) 供应商可在以下位置找到:https://cloudadvisor.medium.com/third-party-risk-management-tools-168044b5078e
其他资源
可能会对你有用的其他资源:
整合 HITRUST 和 FAIR
https://www.fairinstitute.org/blog/the-fair-institutes-8-most-popular-blog-topics-published-in-2021