最小化未知的未知数
本博客系列的底线是,为了有效地确定优先级,组织必须清楚地了解其损失事件的情况。制定清晰且合乎逻辑的分类法有助于理解如此复杂的情况,并最大限度地减少忽视重要但不明显的事物的可能性。(更多关于未知的未知)
在详细介绍之前,我应该指出,我将分享的示例只是:示例。您的景观无疑会在某些方面有所不同,并且您的分类应该反映这些差异。此外,此处显示的示例重点关注网络风险状况。同样的方法适用于更广泛的操作风险领域。
从简单开始
当我们区分损失事件场景和控制缺陷时,我们已经完成了开发风险景观分类的第一步。本文的其余部分将重点关注损失事件场景的分类。
我发现一个有用的起点是古老的信息安全三要素“机密性、完整性、可用性”。该结构还有其他更复杂的扩展,但我还没有发现它们对于此目的更有效。让我们开始从这个简单的初始表开发分类法。
从这里开始,我们通常开始解析面临风险的资产类别。这是您的组织差异(行业等)开始显现的地方。
为了在粒度方面实现良好的平衡,通常需要另一层抽象。该抽象层的“资产”可以是更详细的信息类型和/或业务功能。请记住,为了达到有用的粒度级别,确实需要取得平衡。我喜欢将其称为“有用的精确度”。粒度不够意味着您不可能获得对环境有意义的洞察。太多的粒度开始让人感觉就像数海滩上的沙粒一样,并且可能会变得难以承受。
包括威胁……
此时,我通常喜欢开始解析环境中的威胁组成部分,而不是更精细地解析资产。当然,您的里程可能会有所不同。
此时,您可以继续增加威胁景观的粒度,直到达到粒度的平衡点(顺便说一下,自然威胁类别下的“ET”代表“地外”事件,例如太阳耀斑等)。
在下图中,我将威胁态势分解为一个额外的抽象层。由于矩阵变得如此之大,我将其分成三个单独的图像。这与我建议的一开始的粒度差不多,因为当你变得更细粒度时,矩阵的大小会迅速爆炸。
分类:确定重要的事情
此时,您开始查看每个单元并问自己:“这个场景是否与组织相关?”我只是在代表相关场景的单元格中放置一个“x”。这将很快开始缩小您必须实际评估的场景数量。
下一步是对每个带有“x”的单元格进行快速而简单的 FAIR 分析。这些是使用 FAIR 本体的高级分析,这些分析本质上是定性的,或者使用预定义的定量范围作为输入,如网络风险分类等工具。如果您愿意,您可以使用颜色突出显示更多场景。通常,每次分析需要五到二十分钟才能完成。你做的越多,它们变得越快。此时,您可以通过组合彼此极其相似的场景,或者将特定场景解析为另一层粒度来确定缩小工作范围的机会。
(注意:如果您想在即将发布的博客文章中看到分类分析的示例,请在评论部分告诉我)
最后,您对分类确定为代表最大风险的场景执行全面、可量化的 FAIR 分析。结果将清楚地显示哪些损失事件场景对组织最重要,这可以帮助您列出十大风险。注意:由于场景的长度,场景名称已从图像中删除。
这个过程,特别是更深入的分析,也代表了制定我在之前的帖子中提到的第二个列表(控制缺陷列表)的第一步。本系列的下一篇文章将重点讨论该列表。
太多工作?
这个过程是否需要大量工作?嗯,是的,也不是。是的,这肯定比把一大堆“风险东西”扔到墙上要麻烦得多。不,这并不需要一生。对于许多组织来说,这可以在几周内完成。最重要的是,一旦以这种方式建立了景观,随着时间的推移,维护它就变得非常容易,随着业务/风险景观的变化添加或删除行或列(场景)。
因此,这一努力应该被视为一项投资,随着时间的推移,在更明确的风险形势下,可以带来丰厚的回报。我还认为,如果没有这种努力,组织更有可能忽视其风险格局的重要部分。此过程还提高了组织解释/捍卫其做出的风险管理选择的能力。
原文始发于微信公众号(河南等级保护测评):确定风险优先级的最佳方法 - 第 4 部分
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论