| 回复“221130”中获得“制定正式的内部风险管理计划”PDF版 |
最佳实践:制定正式的内部风险管理计划
就其本质而言,正式的内部风险管理计划(IRMP)采用的是一种风险管理的思维过程。IRMP是组织指定的专用资源,用于减轻内部威胁和管理内部风险。组织对其员工和受信任的外部实体(TEE)的信任可能使其容易受到恶意的内部人员的影响,这些内部人员经常使用方法来隐藏他们的非法活动。
为了有效预防、检测和应对来自内部人员的独特威胁,组织必须采取适当的风险管理行动。制定缓解内部人员事件的程序的最佳时机是在事件发生之前。当事件真的发生时,可以根据结果来更新程序。
包括联邦政府在内的各组织正日益认识到需要利用专门的重点团队来应对内部威胁。2011年1月,美国管理和预算局(OMB)发布了M-11-08号备忘录,对自动化系统中的国家安全机密信息的保护和反间谍措施进行初步评估。
自动系统中的国家安全机密信息的保障和反间谍措施的初步评估[Lew 2011]。这份备忘录宣布了对以下方面的评估结果 政府机构的内部威胁保障措施的评估结果。联邦政府的这一行动强调了内部人员对政府和私营企业构成的普遍和持续的威胁,以及对减轻这种威胁的方案的需求。
2011年10月,奥巴马总统签署了行政命令(EO)13587--改善机密网络安全以及负责任地分享和保护机密信息的结构性改革[奥巴马2011]。这项行政命令要求所有能够接触到机密信息和系统的联邦机构 的联邦机构都要有一个正式的IRMP。此外,《国家工业安全计划操作手册》(NISPOM)第2次修改[NISPOM 2006]要求国防承包商建立和维护IRMP,其中包括EO 13587的许多要求。
IRMP是一个全组织的计划,有一个既定的愿景,并为其参与者确定了角色和责任。所有参与者必须接受基于角色的专门培训。该计划必须建立标准和门槛,以确定内部人员的风险,进行调查,提交给调查人员,并建议缓解措施。
一个全面的、正确实施的IRMP还必须考虑到员工的隐私。它必须保持一种文化,以平衡实现组织的使命和支持组织的员工队伍的能力。大多数IRMP的目标应该是让受信任的员工保持适当的工作场所行为,而不是简单地检测和减轻政策违反。
组织必须确定在尊重员工的隐私和公民自由的同时,应该在多大程度上信任其员工。劳动力成员必须清楚地了解他们在工作中可以执行什么,以及他们在工作时可以期望保持什么隐私。IRMP必须用一个确保隐私和保密的程序来控制查询,因为IRMP成员被信任来进行监测和解决。这些隐私考虑和默认的隐私文化也可以防范无意中的个人数据泄露。最重要的是,IRMP必须得到管理层的支持才能成功。
卡内基梅隆大学(CMU)软件工程研究所(SEI)的研究人员,以及其他组织,如情报国家安全联盟(INSA),记录了政府和非政府组织中最常见的IRMP组件[INSA 2013]。该最佳实践建议,IRMP至少应包括图11所示的组件。
图11:IRMPs的共同组成部分
一个IRMP至少应该包含的内容在下面的列表中进一步解释。
l正规化和明确的IRMP--该计划应包括指令、授权、任务说明、领导意图、管理和预算等要素。
l整个组织的参与--该计划应该有来自所有使用数据访问和共享的组织部分的积极参与。
所有使用数据访问和共享的组织部分的积极参与。高级领导层应该为该计划提供明显的支持,特别是当IRMP需要的数据处于孤岛状态时(即,数据只存在于人力资源[HR]、物理安全、信息技术[IT]或信息安全等领域或部门)。
l监督项目的合规性和有效性--治理结构,如IRMP工作组或变更控制委员会,应帮助IRMP项目经理制定IRMP的标准和操作程序,并建议对现有的实践和程序进行修改。另外,执行委员会或指导委员会应批准工作组/变更控制委员会建议的变更。监督包括年度自我评估和外部实体评估,评估IRMP的合规性和有效性。
l必要的报告程序和机制--这些机制和程序不仅有助于报告可疑活动,而且在与IRMP密切协调时,还能确保合法的举报人不会受到抑制或不适当的监视。
l内部威胁事件应对计划--该计划必须不仅仅是向外部调查员的转介过程。它应该详细说明如何识别、管理和升级警报和异常情况,包括每项行动的时间表和正式处置程序。
l内部威胁事件的沟通--事件信息应适当地与正确的组织部门分享,同时保持员工的保密性,直到指控完全得到证实。在指控得到充分证实之前,应将事件信息适当地与正确的组织部门分享,同时保持员工的保密性和隐私。这种类型的沟通包括内部风险的趋势、模式和未来可能发生的事件,以便可以酌情修改政策、程序和培训等。
l保护员工的公民自由和隐私权--法律顾问应审查IRMP在计划发展、实施和运作的各个阶段的决定和行动。
l与企业风险管理相结合--IRMP必须确保组织的风险管理的所有方面包括内部威胁的考虑(不仅仅是外部攻击者),组织应考虑为内部风险管理建立一个独立的组成部分。
l与管理受信任的外部实体(TEEs)有关的做法--这些做法包括为内部威胁的预防、检测和响应能力而审查的协议、合同和程序。(常识指南》使用了受信任的外部实体这一术语,而不是受信任的商业伙伴)。
l预防、检测和响应基础设施--该基础设施包括网络防御、主机防御、物理防御、工具和流程等组成部分。
l内部威胁培训和意识--这种培训包括组织的三个方面:(1) 针对组织全体员工的内部威胁意识培训(例如,雇员、承包商、顾问),(2)针对IRMP人员的培训,以及(3)针对可能观察到内部威胁事件某些方面的任务专家(例如,人力资源、信息安全、反情报、管理、财务)的基于角色的培训。
l数据收集和分析工具、技术和实践--这些工具、技术和实践包括用户活动监控(UAM)、数据收集和计划的分析部分。数据收集、处理、存储和共享的所有方面都需要详细的文件,以确保遵守劳动力成员的隐私和公民自由。
lIRMP的政策、程序和做法--IRMP必须有正式的文件,详细说明该计划的所有方面。
lIRMP必须有正式文件,详细说明该计划的所有方面,包括其使命、威胁范围、指令、指示和标准操作程序。
l正面激励--组织应通过利用以正面激励为基础的组织实践来吸引员工的行为,而不是强迫他们,其核心是提高工作参与度,感知组织支持,以及工作中的联系。
有效的 IRMP 拥有跨职能的利益相关者,包括管理层、人力资源部门、法律顾问、实体安全部门、信息技术、信息安全、数据所有者和软件工程的成员。组织必须具备以下条件:(1)针对内部事件的既定事件响应计划;(2)记录在案的升级链;以及(3)对决定事件处置的主管部门的精确定义。
在建立IRMP时,组织应实施以下内容。
l识别关键资产,包括知识产权(IP)和敏感或机密数据(见最佳实践1)。
l使用访问控制来保护确定的数据和资产(见最佳实践10和19)。
l监控对关键数据和资产的访问(见最佳实践12、17和19)。
l监控拥有特权访问的工作人员(见最佳实践11)。
l进行专门的监控(例如,30天规则,在正常时间之外,到外部网站)(见最佳实践4和17。)
l实施职责分离(见最佳实践14)。
l进行质量保证和持续改进(见最佳实践17)。
规定这些最佳做法的文件应要求组织使用技术机制,确保适当的监测、警报和报告。
IRMP有助于组织检测、预防和应对内部人员事件。一个正式的IRMP包括来自整个企业的不同团队的成员,不需要是一个单独的、专门的实体。来自整个组织的人员可以根据需要担任该团队的许多角色。然而,在内部人员事件发生之前,确定这些人和他们的角色是非常重要的。
为了做好准备,以一致、及时和专业的方式处理内部人员事件,IRMP的成员必须了解以下内容。
l- 谁来参与
l- 谁有权力
l- 与谁协调
l- 向谁报告
l- 采取什么行动
l- 要做哪些改进
IRMP类似于标准的事件响应团队,因为这两个团队都处理事件;但是,IRMP响应的是疑似涉及工作团队成员的事件。IRMP处理的信息通常是敏感的,要求团队成员以最大的谨慎和尽责来处理案件,特别是因为团队成员和被怀疑的内部人员为同一个组织工作,而披露可能会错误地损害某人的职业生涯。确保隐私和保密有助于保护(1)无辜的被指控的内部人员和(2)调查过程本身的完整性。
来自整个组织的团队成员必须共同合作,分享信息并减轻威胁。表3列出了组织应考虑参与的团队和人员;这些团队和人员可以提供他们对潜在威胁的看法,作为IRMP的预防、检测和响应方面的一部分。
表3:政府和非政府组织中IRMP职位的名称
|
业务组成部分 |
主题专家(SEM) |
|
C级管理人员 |
数据架构师(或功能) |
|
安全(物质、人员和信息) |
系统网络架构师 |
|
网络安全(如果不包括在信息安全中) |
信息保障(IA)专家 |
|
人力资源或人力资本(HC) |
高级技术员 |
|
信息技术(CIO,首席技术官CTO) |
人力资源/安全专家 |
|
法律 |
金融专家 |
|
隐私 |
法律专家 数据保护官(DPO) 一般数据保护条例(GDPR)专家 |
随着IRMP团队的壮大,增加成员的价值必须与披露个人信息或披露正在进行调查的风险增加相平衡。平衡信息共享和隐私的一种方法是要求所有参与的组织团体贡献他们的威胁检测数据和想法,但只有一个小型的、核心的IRMP团队接收和分析这些信息。
任何组织的一个重要考虑是它应该如何在组织内调整其IRMP。CERT的研究人员已经看到,政府和非政府组织使用不同的调整模式。有些包括让IRMP向以下人员报告。
l- 首席风险官 (CRO)
l- 首席信息官 (CIO)
l- 首席信息安全官 (CISO)
l- 人力资源(HR)
l- 安全(通常是实体安全)
l- 首席财务官 (CFO)
l- 行政总监或首席运营官 (COO)
l- 首席法律顾问
l- 道德(或调查部门)
根据对各种报告模式的经验观察,当IRMP直接与组织的领导人保持一致时,遇到的复杂情况最少,效果最好。直接向总统/首席执行官/局长/秘书或其主要副手(如办公室主任/首席运营官)报告,可确保员工队伍了解以下情况。
l- 高级领导层的承诺
l- 其他C级人员及其组织的充分合作
l- IRMP可以不受限制地获得所需的数据来源和组织内的主题知识
许多组织最初将其IRMP与情报、反情报、调查或执法部门结合起来,但却发现与法规遵从的要求有很大的关系,从而阻碍了计划的有效性。同样,与HR/HC、IT、安全等部门合作的IRMP发现,这些项目有时会过于关注该组织元素的特定知识和技能组合。例如,与人力资源/人力资源部门相配合的项目,主要集中在人员管理方面。而与IT部门合作的项目则主要集中在IT工具和数据方面。为了缓解这些问题,一些组织最终将他们的项目调整到高级行政人员或主要副手。
图12显示了IRMP的名义调整及其治理结构;它也说明了组织中的每个团队需要为IRMP提供投入。这些输入可以是数据调用的结果,也可以是实时、自动的数据输入。例如,人力资源管理系统可以向IRMP提供一份即将离开组织的工作人员的自动名单。这些信息可以用来决定是否额外的程序应该被执行。
图12:IRMP组织结构和数据提供者实例
每个业务单位都应该有一个可以提供数据反馈或额外信息的受托代理。IRMP应尽早确定受信任的代理人,以便在需要数据或发生事件时能立即与他们联系。在他们被安排到这个角色之前,每个受信任的代理人至少应该接受当前的背景调查,并签署IRMP的保密协议(NDA)。IRMP可能会发现,如果它只要求数据并进行自己的分析,其他部门会更愿意合作。例如,IRMP应该向实体安全小组索取设施访问日志,然后进行自己的分析。
图12中列出的潜在IRMP团队成员对预防、检测和/或响应工作有帮助。然而,并非每个团队成员都需要对每个潜在的威胁发出警报。相反,该组织应考虑哪些团队成员必须参与每种类型的工作,在响应期间,哪些成员应参与不同级别的响应或升级。
该小组应定期开会,以确保其保持活跃和有效。其成员应讨论发现的异常情况(主动反应)和指控(被动反应)。
潜在的内部人员活动。该小组可以在一个物理空间开会,或使用电子通信(例如,视频会议或通过安全电子邮件讨论)。这种 这种虚拟方法可以使不同地点的团队成员快速、方便、安全地进行协作。
IRMP团队在使用电子邮件时应遵循安全和谨慎的程序,因为团队以外的许多工作成员(如系统管理员和行政助理)可能会接触到其电子邮件信息,并成为利益相关者或与利益相关者成为朋友。安全程序应包括使用公钥加密法进行加密,如Pretty Good Privacy(PGP)。这些程序还应该规定,电子邮件只能被简短地解密,在不连接任何网络的情况下阅读,必须以加密的形式存储,并且必须安全地删除其解密版本。
另一个需要考虑的因素是,如果通信系统受到攻击或内部人员可以监视会议,那么电子会议场所可能无法使用,因此应计划并提供备用安排。每个组织都是不同的,应根据其规模、能力和风险容忍度创建其特定的IRMP团队和计划。
在调查期间,IRMP必须对所有相关信息进行保密,以确保隐私,并将调查情况隐瞒涉嫌不法行为的工作成员。
重要的是要记住,一旦提出涉嫌内部活动的指控,该指控就永远无法完全撤回。即使嫌疑人被证明没有任何不当行为,对指控的了解也会在知情者中流传,并可能毁掉某人的职业生涯。因此,最重要的是对调查进行保密,并且只与那些有合法需要知道的人讨论。
当IRMP小组正在进行调查时,其成员应谨慎对待他们要求提供数据的方式。
当IRMP小组进行调查时,其成员应谨慎对待他们请求数据的方式。例如,如果该小组正在查询会计部门的一个人,并需要查看系统日志以确定登录和注销时间,该小组应要求从一个更大的数据集,如会计部门和该组织的另一个团队的日志,以避免惊动嫌疑人或数据所有者。然后,IRMP核心小组可以根据其具体需要对日志进行筛选。
组织应将对各种数据源的随机审计作为政策和标准操作程序的一部分。这种做法可以揭示以前未发现的威胁,并为主动查询期间的数据请求提供良好的非警示性掩护。在实施任何类型的审计计划之前,该组织应咨询法律顾问。
IRMP团队与事件响应团队不同的另一种方式是它的主动作用。例如,以前的研究表明,参与工作的员工不仅工作效率高,而且还能在工作中发挥积极作用。
不仅生产力更高,而且不太可能采取有悖于组织利益的行动[Sulea 2012, Ariani 2013]。虽然还需要更多的研究,但这表明提高员工队伍成员参与度的做法(例如,以实力为基础的管理,以提高员工队伍成员对其工作的适应性)可以为企业抵抗内部事件打下良好的基础。
其他研究显示了员工参与的生产力和保留率的好处,所以这些做法对组织和员工来说是一个双赢的局面[盖洛普2013]。IRMP应该积极主动地处理员工队伍中的问题,努力防止和识别潜在的威胁,以减少伤害。组织采取积极的激励措施,以及IRMP对员工队伍进行侦查监督,是积极主动作用的其他例子。(见最佳实践21)。
在一个组织中实施的任何IRMP必须是合法的,并遵守管理该组织的所有规则和条例,无论是国内还是国外。监测活动必须在一定范围内进行,监测信息的保存地点和接触信息的人员也必须在一定范围内。在实施任何IRMP之前,以及在任何调查期间,组织必须让法律顾问参与。在信息收集过程中,咨询法律顾问是非常重要的,以确保 (1) 所有证据都按照法律标准保存,以及
(2) 在必要时迅速作出法律回应。法律咨询也是必要的,以确保IRMP成员正确分享信息(例如,确保劳动力成员在精神和身体健康方面的合法隐私)。在欧盟(EU)运营的组织(或在欧盟范围内有收集员工数据的IRMP)必须咨询指定的DPO。
人力资源部门在检测与内部风险有关的可能行为问题的迹象方面发挥着重要作用。为了确保员工的隐私,人力资源部门必须仔细甄别调查中涉及的任何信息,并且只在需要知道的基础上发布最低限度的必要信息。
需要了解的基础上发布。人力资源团队可以包括一个行为科学SME,该SME被嵌入或与IRMP紧密合作。人力资源团队可以利用内部调查结果制定一份人员观察清单,并将其发布给内务部和IRMP团队的某些成员,以便他们知道要审查哪些日志。
由CERT研究人员和其他内部威胁研究人员确定的行为和技术指标可作为组织IRMP的一部分,作为潜在的指标。可以提示潜在的恶意内部人员的劳动力行为的例子包括,但不限于以下内容。
l- 反复违反政策--与破坏行为相关的指标
l- 破坏性行为--与破坏和工作场所暴力相关的指标
l- 财务困难或无法解释的财务状况极端变化--与欺诈相关的指标
l- 工作表现问题--与破坏和知识产权盗窃相关的指标
CERT的研究人员还致力于分析内部人员可能用于最终实施盗窃或攻击的各种路径。虽然人力资源部门可以标记某些行为指标,但它对组织中的其他人也有责任。当员工提交辞呈或通过其他方式离开组织时,人力资源部门必须通知IT团队成员,以便他们能够对离开的个人进行强化监控。
下面的例子显示了三类内部事件的众多途径中的几条,以及IRMP应该如何为每一类事件工作。
信息技术的破坏:
1. 行为问题由管理层报告给人力资源部。
2. 人力资源部门通知计算机安全事件响应小组(CSIRT)和IRMP。
3. IRMP对过去和现在的在线活动进行调查,并预测未来的在线活动。
盗窃知识产权
1. 一名能够接触到敏感知识产权(如商业秘密、源代码、工程或科学信息、战略计划)的员工辞
职。
2. 人力资源部门通知CSIRT和IRMP;他们对过去和现在的在线活动进行调查,并预测未来的在线
活动,特别关注内部人员辞职前后30天的活动日志。
诈骗
1. 劳动力成员正在经历极端的财务困难,或者财务状况突然发生了无法解释的变化。
2. 管理层告诉安全部或人力资源部,后者告诉CSIRT和IRMP。
3. IRMP加强对金融交易和数据的监控,例如可能被出售的个人身份信息(PII)。该小组还调查了过去和现在的在线活动,并预测未来的在线活动。
IT团队和IA团队必须合作制定一项战略,以监测高风险的内部人员,如人力资源团队观察名单上的工作人员。这些团队应确定高风险工作人员可访问的所有系统和信息,并确保审计日志能捕获足够的信息,以确定以下列表中的信息。(见最佳实践10)。
l- 谁执行了某项行动(例如,用户名)
l- 执行了什么行动,行动的结果是什么(即,成功或失败)
l- 行动发生的时间(例如,日期和时间)
l- 执行行动的地点(例如,工作站名称、服务器名称)
在实施审计控制以检测恶意的内部人员时,可能需要进行更细化和更粗略的审计。理想情况下,IT和IA团队已经实施了一个系统信息和事件管理(SIEM)解决方案,收集和关联所有的安全事件。(见最佳实践12)通常情况下,SIEM解决方案可以被定制,以寻找某些模式或提取满足安全事件的事件。
通常情况下,SIEM解决方案可以进行定制,以寻找某些模式或提取符合一组特定标准的事件。关于集中记录的进一步讨论,见SEI报告《内部威胁控制》。使用集中式日志来检测内部终止附近的数据渗出[Hanley 2011b]。IT和IA团队在实施保护系统和数据的保障措施方面也很重要。
物理安全团队应与 IA 团队合作,收集物理访问日志。在可能的情况下,实体安全和IT应该将他们的日志关联起来,以帮助他们检测所有类型的威胁。实体安全部也许能够提供视频监控历史。根据
根据既定计划的深度、法律顾问的建议和管理层的风险容忍度,实体安全团队也可以通过扣押、储存和处理证据来协助调查。最后,实体安全团队可能需要护送个人离开组织的场所,并与威胁评估和/或管理团队合作,评估未来攻击的风险,例如针对组织的暴力。
IRMP必须在明确定义和持续执行的政策下运作。定期会议有助于IRMP团队确保对这些政策的遵守。这些会议还允许来自不同部门的团队成员分享信息,建立跨企业的态势意识,保持团队应对内部风险的准备状态。跨组织团队的部门间沟通有助于IRMP成功预防、发现和应对内部风险。
工作场所暴力预防计划,如美国农业部(USDA)的计划21,同样要求一个威胁评估小组,由来自多个部门的成员组成,积极主动地、保密地工作,以识别和减轻潜在的威胁。职业安全与健康法》(OSHA)的一般责任条款要求许多雇主提供一个安全的工作场所[OSHA 2015],所以工作场所暴力预防计划现在被广泛实施。这些计划在明确定义的情况下解决员工隐私问题,IRMP也必须这样做。
了解和避免潜在的陷阱
IRMPs本身可能是组织绩效问题的来源,甚至更糟糕的是,加剧了它旨在缓解的内部风险。CERT的研究人员在以前的工作中发现了以下几类建立和运行正式的IRMPs的潜在负面意外后果,并提出了减轻这些后果的建议。
l- 干扰合法的举报人程序和保护--如果IRMP不将举报作为一项合法的职能,并有自己的流程和程序,就会产
l生意想不到的后果。即使它这样做,员工可能不相信举报人会得到公平对待。
l-破坏IRMP的管理层和员工之间的关系-IRMP会使各级管理人员和他们管理的员工之间的关系紧张。一个组织的员工可能会把IRMP计划的工作人员看成是敌对的。
l方式--"他们是想抓我们做坏事!" 劳动力成员可以开始玩弄系统,隐藏自己的行为,或忽略报告同事的行为,而IRMP依靠的是一个有效的检测系统。
l- 管理层对IRMP缺乏兴趣或失去兴趣--从首席执行官到各级管理层对IRMP的支持对于IRMP任务的持续成功至关重要。许多组织建立IRMP是为了回应一项任务,但如果财政支持不足或有其他被认为更重要的优先事项,支持可能会减少,只是 "口头服务 "的需要。如果IRMP似乎是无效的,或者假阳性率高于预期,情况就会变得更糟。另一方面,如果IRMP似乎解决了所有的内部人员问题,或者没有内部人员事件实际发生,管理层可能希望将财政支持转移到其他活动上。最后,如果最后,如果IRMP似乎增加了组织的责任,特别是在雇佣法方面,这种增加会阻碍有效实施计划所需的支持。
l- 成员或其他人有目的的滥用IRMP--合法和必要的活动的预期功能可能被有其他目标的人所颠覆。不良分子可以利用IRMP来诬陷或隐藏IRMP内部人员或其同事的恶意活动。将某些工作团队成员作为目标而不是其他成员,或将程序功能用于预期之外的目的,如为一般绩效评估而监测工作团队成员的生产力,这与有效的运作是背道而驰的。
l- 其成员或其他人无意中滥用IRMP-有些对计划功能的滥用可能是无意的。这些意外可能会导致违反人力资源就业法,或作为内部人检测功能的一部分,无意中披露机密信息。在某些情况下,这些无意的披露也可能导致监管后果。在GDPR的背景下,个人数据泄露被定义为 "导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据的安全漏洞"[GDPR 2021]。此GDPR背景与更传统的背景之间的关键区别在于它包括访问,因此个人数据泄露可以包括数据从未离开组织的情况。因此,监管要求强调了IRMP成员需要了解劳动力监控和未经授权或无根据的访问PII对隐私的影响。内部调查的一个副作用还可能包括对被怀疑但后来被排除非法行为的人的声誉或职业的伤害。
l最根本的是,组织应考虑其内部风险管理工作可能产生的负面意外后果。管理层必须积极主动地预测意外后果,并有意利用控制措施来尽量减少其潜在的实现。关于IRMPs的潜在意外后果的更多信息,请参阅SEI报告《有效的内部威胁计划。了解和避免潜在的陷阱[Moore 2015]。
挑战
组织在实施这一最佳实践时可能面临以下挑战。
1.跨职能的合作--管理内部风险的战略和运作必须全面整合跨职能的利益相关者,以管理以人为本的风险。
2.证明对IRMP的需求--有些组织没有义务维持一个专门的IRMP团队,因此没有明显的动机去这样做。在这种情况下,这些组织可以确定并培训一组特定的资源来处理内部威胁,而不是维持一个专门的团队,这样就可以提前制定一个计划。
3. 证明IRMP资金的合理性--要证明IRMP的支出是合理的,特别是在软件解决方案的高价格下,通常需要专家或高级用户来维护和操作。~
4. 寻找团队参与者--小型组织可能没有专门担任上述各种角色的工作团队成员;但是,即使在小型组织中,正式的IRMP仍然是可能的。只要管理层制定政策和程序,说明当内部事件发生时应与谁联系,并且该人知道该怎么做,组织仍应能够对事件做出反应。
5. 避免负面的意外后果--很难预见复杂的组织变革的所有影响。IRMP的设计者和管理者必须在计划阶段就考虑到可能发生的负面意外后果,在运行过程中警惕地发现这些后果,并根据需要制定缓解措施。
6. 认识到纠正的权利--根据GDPR,数据主体有权要求纠正不准确的个人数据。对于一个组织来说,这意味着如果情况允许,其员工可以要求访问和纠正收集的关于他们的个人数据。IRMP和管理层应考虑到与员工一起纠正请求的程序、后勤和操作风险。
内部风险管理计划的管理
一个成熟的治理结构对于有效地开发、部署和管理IRMP是至关重要的。该组织应实施一个治理结构,以便对其IRMP进行监督和建议。
- 保持一个与内部风险有关的最新知识库,包括保持最新的研究和捕捉经验教训。
- 为IRMP利益相关者提供支持,以确保各小组达到其目标,为IRMP经理提供适当的投入,并将结果和决定适当地传达给其他IRMP利益相关者。
- 监测治理措施,确保管理机构满足IRMP的需要,提出改进建议,并根据需要完善措施。
- 捕捉并向内部和外部利益相关者传达IRMP的成功案例,以增加项目支持。
- 执行包括审查预算、制定未来的技术要求、持续改进操作程序和管理风险等程序。
- 维护和执行计划时间表,根据正在进行的经验教训(包括内部和外部)、最佳做法和利益相关者的意见,更新章程指南、程序和政策。
|
案例研究:未经检查的访问 |
|
在一起破坏案件中,一家IT支持企业雇用内部人员作为计算机支持技术人员。作为其职责的一部分,该内部人员拥有对该组织网络的管理员级别的、受密码控制的访问权。在离开该组织三个月后的一个周末深夜,该内部人员使用其管理员账户和密码远程访问该组织的网络。他更改了该组织所有IT系统管理员的密码,并几乎关闭了该组织所有的服务器。他删除了备份磁带上的文件,而这些文件本可以使该组织迅速从入侵事件中恢复。 该组织及其客户经历了数天的系统故障。调查人员将事件追踪到该内部人员的家庭网络。该内部人员被逮捕、定罪,被命令支付超过30,000美元的赔偿金,并被判处1至2年的监禁,然后是几年的监督释放。他还被命令进行100小时的社区服务,向年轻人讲授非法黑客行为的后果。 |
这个案例强调了对IRMP的需求。该内部人员从该组织离职后,能够远程连接到该组织的系统,实施恶意行为。如果受害组织的人力资源部门将该内部人员的离职情况告知其IA团队,那么该内部人员的账户就会被锁定或删除,从而防止事件发生。受害组织应该有一个全面的离职程序,如最佳实践20中所述。
CERT内部威胁事件库显示,该事件也发生在其他破坏案件中的情况下:下班后访问和远程使用管理账户。SIEM解决方案中的定制规则可以帮助该组织通过检测这些情况并提醒IA团队审查可疑的活动来检测潜在的攻击。(关于SIEM的进一步讨论可在最佳实践12中找到。)此外,如最佳实践13所述,该组织本应仔细监测远程访问。
|
案例研究:连环贪污犯 |
|
一名内部人士受雇于受害者组织担任簿记员。在大约两年的时间里,她从该组织的账户中开出70多张支票,用于支付她的个人开支,并篡改该组织的计算机会计记录,以显示不同的收款人。她侵吞了该组织近 她从该组织挪用了近20万美元。 当一位经理注意到电子支票账簿中的不正常情况时,她的活动被发现。该内部人员被定罪并被判处1至2年的监禁。然而,法院判决的赔偿金只有20,000美元,因此该公司永久地失去了大部分挪用的资金。 |
在这次事件之前,这位内部人士曾因类似的欺诈行为被定罪。内幕风险团队会制定政策和程序,要求进行背景调查,这可以防止整个事件的发生,确保她的定罪在筛选过程中被发现,可能会取消她的就业资格。内幕风险团队会建立起对异常和可疑事件的检测程序,因此,第一轮对电子账簿的异常变化就会被发现。
因此,对电子账簿的一系列异常变化可能已经被发现。然后,内部人员风险小组可以更密切地监控内部人员的活动,更早地发现欺诈行为。更早地发现欺诈行为会减少该组织的损失。
这个欺诈案例显示了IRMP是如何预防、发现和应对内部人员风险的。同样,如果有一个IRMP,下面这个知识产权盗窃案中的损失也可能被预防或减少。
|
案例研究:化学反应 |
|
该内线受雇于受害者组织,担任研究化学家。他负责涉及电子技术的各种研究和开发项目。该内部人员接受了另一家公司的工作邀请。在离开受害公司前的四个月里,该内部人员访问了该组织的服务器,包括15000多个可移植文档格式(PDF)文件和20000多个包含受害组织商业机密的摘要。 在该内部人员辞职后,受害组织发现了他大量的下载行为。该内部人员在竞争对手的组织开始了他的新工作,并将大部分被盗信息转移到公司分配的(竞争对手公司)笔记本电脑中。受害组织通知竞争对手组织,它发现了大量的下载。竞争对手组织查封了该内部人员的笔记本电脑,并将其移交给受害者组织。该内部人员最终被定罪,被判处一至两年的监禁,并被命令支付约14,000美元的赔偿金和30,000美元的罚款。在进行取证分析后,该公司确定该内部人员下载的数据量比次高用户的数据量高15倍,而且这些数据与他的研究无关。~ |
内幕风险团队可以通过监测计算机系统的异常行为来防止、提前发现或减少来自该内幕人员的伤害,这样就可以发现该内幕人员的异常下载。然后,该团队可以与高级管理层和人力资源部门合作,(1)立即终止该内部人员的工作,并让执法部门参与进来,或者(2)加强监测,检查以前的日志,以收集更多关于该内部人员活动范围的信息。
该组织可能已经防止了有价值的知识产权的转让。(该法院案件没有确定竞争对手公司或任何其他组织是否获得或使用该知识产权)。至少,该知识产权处于非常高的风险之中,并在一段时间内脱离了受害组织的控制,而内部风险团队本可以预防、发现并应对这一威胁。
快速赢利和高影响力的解决方案
所有组织
本小节中的建议适用于所有组织。
²获得所有政策和预期做法的初步法律批准。请律师确定操作IRMP的法律要求,特别是关于什么可以做, 什么不能做。
²为法律审查和批准建立定期和事件驱动的协议(例如,半年一次的协议审查[定期]、基于询问的法律援助请求[事件]、使用强化监控的决定[事件])。
²记录贵组织对内部威胁事件的定义。确定可导致事件被归类为数据泄露的任何必要触发因素(例如,事件与 PII 的渗出有关)。
²定义一个跨职能的内部威胁事件响应计划,说明在响应内部威胁事件时,谁负责什么(以及在什么时间段)。
²考虑管理内部人风险的风险转移方案。保险供应商或网络安全服务提供商可能会以合同形式参与到事件的处理和补救中。
大型组织
本小节中的建议适用于大型组织。
²正式制定IRMP(由组织的一名高级官员被任命为项目经理),可以监测和应对内部风险。
²在内部威胁分析中心中定义和部署内部威胁指标,以检测内部威胁活动的潜在前兆。保持持续的实时监控,并确保指标列表与用户群和关键资产相关联。
²在内部威胁分析中心中定义和部署内部风险指标,该指标可以汇总和关联内部威胁指标,以确定与内部威胁相关的行为模式。
²在IRMP利益相关者之间保持频繁和密切的联系,以保持准备状态。
“阅读原文”,关注星球也可获得PDF版
-
-
>>>等级保护<<< -
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
信息安全服务与信息系统生命周期的对应关系 -
>>>工控安全<<< -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
>>>数据安全<<< -
>>>供应链安全<<<
-
供应链安全指南:建立基础,持续改进。 -
思维导图:ICT供应链安全风险管理指南思维导图
原文始发于微信公众号(祺印说信安):缓解内部威胁:制定正式的内部风险管理计划
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论