在本系列的第 4 部分中,我分享了一种可以帮助组织识别其最重大损失事件场景的方法。这是(或应该是)掌控风险状况的第一步。在这篇文章中,我将讨论组织如何更可靠地识别其环境中的控制缺陷,这些缺陷是其环境中风险的最大贡献者。
你已经在路上了
在执行第 4 部分中描述的分析过程中,您无疑会发现控制措施不足。也许是因为当人员离开组织或改变角色时,某些系统或应用程序的访问权限无法可靠地调整。或者可能是身份验证协议较弱、偶尔使用默认密码、系统未打补丁、日志记录较弱或恢复过程不可靠。
找出哪些缺陷最重要只需重新分析场景,但使用反映改进状态的控制值(例如,更可靠的访问权限条件)即可。通过比较前后状态,改进带来的风险降低变得显而易见。在比较顶部丢失事件场景中的所有缺陷控件后,识别哪些缺陷浮到堆顶部相对简单。添加成本分析,您还可以确定哪些控制改进可提供最佳的投资回报率。
然而,通过此过程发现的控制缺陷主要集中在我们所说的“资产级控制”(又名“场景级控制”)上。换句话说,控制措施直接影响损失的频率和/或幅度。这种情景分析过程通常不会直接识别执行(例如,政策和意识)或决策(例如,可见性、分析和报告)中的风险管理缺陷。针对这些不足,我们不得不提出不同的问题。
第二个最重要的问题
如果“风险有多大? ”是风险管理中第一个最重要的问题,第二个最重要的问题是“为什么?”为什么组织有这样的风险类型和级别?在情景分析阶段发现的那些有缺陷的控制措施并不是凭空神奇地出现的。做出(或未做出)的决定和采取(或未采取)的行动导致资产水平控制条件不足。除非组织识别并处理这些缺陷背后的根本原因,否则注定会在我所说的“风险管理土拨鼠日”中重蹈覆辙。
在控制分析过程的此时,组织应该进行根本原因分析,以确定其控制缺陷存在的原因。如果做得好,这个过程可能会发现一小部分问题(也许是两个或三个),这些问题对大多数资产级控制缺陷有很大影响。这些显然应该跻身前十名,因为它们能够实现战略和系统性改进,而不是仅仅通过修复有缺陷的资产水平控制来减少短期损失风险。
顺便说一句,我还没有遇到过在风险领域执行可靠的根本原因分析的组织。迄今为止我所看到的只是肤浅的近因分析。在以后的文章中,我将分享一种执行更有效的根本原因分析的方法。如果您不想等待该帖子, RiskLens 资源页面上有一个提供概述的信息图。我还在《衡量和管理信息风险:FAIR的方法》一书中对此进行了讨论。
第三个最重要的问题
作为 CISO,我不喜欢的事情有很多(有好几件),其中最不喜欢的就是意外。很多时候,我会在事后了解组织风险状况的某些方面,这些方面非常重要。为了避免出现意外,必须评估一个重要的与控制相关的问题,以充实有缺陷的控制清单:“我们不知道什么?还记得我之前的帖子中,我谈到过“无知的未知数”吗?好吧,这就是我们解决这个问题的地方。组织是否充分了解:
-
关键资产在哪里
-
它的关键攻击点是什么(例如网络的入口点)
-
正在实施的新技术或业务流程
-
威胁形势正在发生什么(例如,不断发展的能力、方法和 事件频率的变化)
-
控制环境的变化
-
影响影响的变化(例如,不断变化的法规等)
如果这些问题中的任何一个的答案是粗略的,那么组织几乎肯定应该将其添加到列表中,因为如果对风险形势的可见性很差,就很难就风险做出明智的决策。(如果您想知道为什么可见性会落入有关控制的讨论中,这是因为可见性被归类为FAIR中的决策控制。)
堆栈排序控制缺陷
还记得我之前的帖子,我在其中指出了能够对事物进行排序以便有效地确定优先级的重要性?好吧,你们中的一些人可能会问自己这样的问题:“我如何将通过“为什么”和“我们不知道什么”流程识别出的控制缺陷相互比较以及与资产级别的控制缺陷进行比较?不幸的是,这样做的过程远远超出了我在一系列博客文章中所能传达的范围。
由于无法在单个列表中比较这三种类型的缺陷,因此最好的选择是创建三个“主要缺陷控制”列表:
-
一种针对资产级别控制缺陷(根据改进这些缺陷的评估收益很容易进行比较)
-
一个针对最重要的根本原因(其中可能只有少数),可以将其相互比较,以确定哪些根本原因与最大的资产级控制缺陷最相关
-
一种是针对最严重的可见性缺陷,可以根据缺陷的严重程度进行粗略比较(例如,组织对其环境的较小子集的威胁具有有限的可见性,而对某个组织的控制条件几乎没有可见性)其环境的更广泛子集)
如果愿意,您可以从每个列表中选取前三名或前四名来构建前十名控制缺陷列表。它们无法堆叠排名,但至少可以在自己的类别中排名。
无论您使用一个还是三个控制缺陷列表,简单的事实是,以这种方式评估控制环境的过程将显着提高组织专注于其风险环境中最重要的缺陷的能力。
但是关于…?
我预计读者会提出一个问题:“我如何利用我的组织已有的“风险评估”数据? ” 好问题,我希望我能为你提供一个让你感觉良好的答案。如今,行业中执行的大多数“风险评估”将基于控制清单框架,如 NIST CSF、PCI、FFIEC CAT、ISO2700x、本土列表等。虽然这些评估可用于识别控制缺陷,但它们无助于衡量风险或在任何真正意义上确定缺陷的优先级。我的建议是使用它们:
-
满足审计师、监管机构或其他关注清单的利益相关者的要求
-
将这些结果与通过我所描述的过程发现的缺陷进行比较。你永远不会知道。检查表可能会发现您忽略的事情。也就是说,如果您遵循了我所描述的流程,那么通过检查表而不是通过流程发现的缺陷不太可能成为您最关心的问题之一。
把它包起来
这是本系列的最后一篇博文。我希望您觉得它有趣且有价值。随着我们继续与论坛成员合作并向他们学习,我们将提供新的见解和改进,以便每个人都能受益。同时,如果您有任何问题或反馈,请通过下面的评论框告诉我。
原文始发于微信公众号(河南等级保护测评):确定风险优先级的最佳方法 - 第 5 部分
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论