首页 / 资源 / 新闻及趋势 / ISACA Now博客 / 2021 / 弥合安全与业务之间的鸿沟

弥合安全与业务之间的鸿沟:一种新的业务风险量化方法

约坦·本·以斯拉
作者: 约坦·本·以斯拉, SafeBreach产品副总裁
发表日期: 7月14日

编者按: 以下是SafeBreach赞助的一篇博文.

在安全领域, 今天的团队必须驾驭复杂的重要层次, 与太多不同的标准和太多不同的技术竞争. 当我们谈到安全时, 我们有很多流行语, 标语, 和, 当然, 首字母缩略词, 这往往会加剧混乱. 团队的任务是对抗威胁, 同时在bcp(业务连续性计划)的世界中运作, 数字风险管理, IT风险管理, 关键风险指标, 还有更多.

术语的激增引出了一个更大的挑战:让整个组织的团队使用相同的语言谈论风险的困难. 这种脱节的部分原因是董事会层面的职责和优先事项本来就不同. 例如:

  • ciso传统上专注于沟通安全风险,并获得解决这些风险所需的财务和运营支持.
  • 首席信息官负责为业务转换安全和技术观点,并优先考虑和证明总体技术支出.
  • 首席财务官负责管理组织的整体支出,并确保其符合首席执行官和董事会设定的目标.
  • CEO和董事会需要了解安全风险是如何影响组织的, 并做出高层次的资源分配决策, 同时专注于优化业务绩效和结果.

现实情况是,在安全策略和业务之间经常存在根本的差距,这种差距阻碍了这些角色的成功. 这些不同的团队有不同的关注点:

  • 安全团队主要关注这些问题:
    • 我们有正确的安全控制吗?
    • 我们现有的安全投资是否有效?
    • 我能免受最近的威胁吗?
    • 我们的主要安全漏洞是什么?
  • 商业领导力关注的是这些问题:
    • 我的财务风险是多少?
    • 我们的技术投资是否支持我们的业务目标?
    • 我们怎样才能进一步降低澳门赌场官方下载的风险?
    • 我应该在哪里投资以获得最大的投资回报率?
    • 我们如何降低成本?

当这些不同的团队不一致时,风险就会从根本上缺乏明确性. 缺乏可见性, 围绕安全策略和投资做出关键决策的高管们并没有深入了解他们需要做出明智选择的风险. 当业务目标和优先级, 预算分配, 安全控制也没有得到优化, 底线的影响可能是显著的.

首席信息安全官必备:业务一致性和价值交付
特别是对于首席信息安全官, 只关注安全性而不确保业务一致性将导致失败. 换句话说, 那些只关注安全的ciso, 忽略业务中持续存在的差距, 不会在餐桌上坐太久吗.

考虑到, 根据Gartner的研究, by 2023, 30%的首席信息安全官的有效性将直接衡量他们为澳门赌场官方下载创造价值的能力. 如果这是准确的, 如果期望和标准继续发展, 业务一致性只会变得更加重要. 为了缩小差距,ciso需要得到以下问题的答案:

  • 我的业务流程是什么?
  • 每个流程的业务价值是什么?
  • 技术栈如何映射到业务流程?
  • 哪些安全控制支持该堆栈?
  • 如何从业务角度量化安全风险?

解决方案:一种新的风险量化方法
获得权威答案, 尤其是最后一个问题, 团队需要在澳门赌场官方下载内部建立网络风险量化(CRQ)模型. 通过CRQ, 跨组织的团队可以围绕最关键的风险建立一致性, 并优化投资组合, 分配, 以及围绕这些风险的资源.

最终, ciso希望业务风险报告能够自动生成,并围绕风险场景提供可操作的见解和情报, 包括特定的威胁, 特定群体或业务单位面临的风险, 以及特定资产所面临的风险. 也就是说, 许多组织在构建持续识别组织风险的过程中将面临重大挑战,因为它涉及不同的涉众和跨职能协作.

那么一个组织应该从哪里开始呢? 一种方法是通过查看高级实体的相对重要性来“简单地开始”, 业务单位, 和资产, 并定义他们面临的高级威胁场景. 仅这一点就可以为业务层面产生大量的价值和见解. 然后安全组织可以决定以什么速度, 以及开发模型的细节.

而建立统一的可见性是关键, 理解不同团队所需的不同级别的可见性也是至关重要的. 想想你飞行时想要的能见度. 你希望能够看到窗外,看到自己的进步, 和理想, 你的航班将提供那些显示飞机位置的交互式地图. 那就想象自己是那架飞机上的飞行员, 以及让飞机到达目的地所需的详细仪表盘.

CRQ概述
在高层次上,CRQ可以看作是一个简单的计算:影响+可能性=风险. 以下是我们对组织应该如何考虑定义这些不同方面的建议:

  • 影响. 要建立影响力,确定业务实体的价值是很重要的. 最终, 这产生了对实体“皇冠上的宝石”的具体看法,关键数据资产, 以及必须保护的地点. 影响和价值最初可以用高的等级来评定和衡量, 对澳门赌场官方下载的相对风险为中低, 或者使用更复杂的模型,将实际的货币价值分配给业务风险, 一个更成熟的组织的最终目标是什么.
  • 可能性. 可能性是通过评估攻击的可能性和损失的可能性来确定的. 从攻击者的角度来看,可能性源于资产的重要性, 对对手也有价值, 相关的漏洞, 以及安全控制的有效性. 安全控制验证工具可用于评估被认为具有高价值的业务实体的公开情况. 团队可以识别资产暴露的可能性及其脆弱性, 资产的重要性和相关的威胁和脆弱性得分的组合.
  • 风险. 然后可以通过考虑业务影响和攻击造成损失事件的可能性来评估风险. 从根本上说,价值越高,可能性越大,风险也就越大. 关键是风险将被具体地定义, 客观的方法才能真正有效的引导, 跨业务的协调行动.

跟踪风险的一致方法
对于CISOs, 与业务保持一致将是他们组织成功的关键, 更不用说他们的事业了. 尽管许多组织远没有完全了解其技术和IT资产的价值, 一个有效的CRQ流程可以用一种代表其成熟度的方式来构建. 通过针对业务及其独特目标、IT和安全基础设施定制的有效CRQ, 团队可以开始以一种让每个人都在同一页面上的方式跟踪风险. 通过这种共享的可见性和统一的目的, 团队将有更好的装备来确保投资和安全防御与业务和安全目标保持最佳一致, 以务实和可核查的方式减少风险.

欲了解更多有关SafeBreach如何支持澳门赌场官方下载CRQ计划的信息,请访问我们的网站 www.safebreach.com.

ISACA年度报告

复选标记
2024
复选标记
2023
复选标记
2022
复选标记
2021
复选标记
2020