為了有效地管理IT風險,這兩種方法都有其應用空間,因為每種方法都有其好處。
控制合規性
控制合規性方法的一個主要好處是增加了對技術產業中存在的低水平控制缺陷的理解和認識。正如我們從各行各業的各種成功的后門進入所看到的,它往往是一個未修補的系統或是一個小的配置錯誤,使得黑客能夠進入。因此,對當前控制缺陷的深入了解可以提高檢測到可導致后門攻擊的小型可利用漏洞的概率。
此外,通過對控制措施進行更常規化的評估(例如,基于ISO27001的評估),可以減少遺漏細節的范圍。通過使用行業最佳實踐框架來評估控制,至少可以放心地知道所評估的控制是保護某些安全域所廣泛需要的控制。此外,對于經驗不足的風險管理人員來說,這種方法也提供了一個安全的工作基礎,并提供了一定程度的指導,至少在安全領域是這樣。
我已經看到了這些類型的行業所公認的信息安全框架被用作技術風險框架的基礎,但這又給我提出了一個問題:如何識別不屬于安全領域的控制,更重要的是,如何識別相關的業務風險?根據我的經驗,一個嚴格的以控制為重點的評估可能會錯過企業的真正風險敞口。即使是一個非常明確的路徑也不能提供一種能夠識別新的和正在出現的風險的方法,因為這些風險是預先確定的。
在我工作過的每個組織中都存在著信息安全風險。但它們還不是企業所面臨的唯一與技術相關的風險。
作為一種技術風險管理方法,我對控制合規性的主要關注點在于風險計算階段,在此階段,無效或缺失的控制都會被自動歸類為風險。簡單來說:沒有或者無效控制=風險。在我看來,這是完全不準確的,給利益相關者提供了一個虛假的故事,而且是有問題的,因為資源被投入到了“風險”之中,而這些資源本可以更好地被用于其他地方,以降低公司的風險。
風險管理
如果一個技術部門的運營風險的計算方法與公司其他部門的沒有什么不同,會有什么影響?在英國,金融機構通過使用風險和控制自我評估(RCSA)來計算操作風險,如新巴塞爾協議所概述的。RCSA授權主題專家(SME)可自行定義其領域內所存在的風險,考慮為減輕已定義風險而實施的控制措施的運行有效性,然后評估這些控制措施對總體剩余風險的影響。這與控制合規性方法的不同之處在于,在定義剩余風險之前,要首先考慮風險,然后再考慮相關控制的運營有效性。
控制合規陣營擔心,RCSA方法中的自定義風險可能會造成風險知識方面的差距,因為風險不是預先定義的,而是源自行業控制框架。還有一個相反的論點:由中小企業定義并由高質量技術風險經理所支持的風險可能與公司和技術部門最相關。
根據我的經驗,RCSA方法提供了一個堅實的框架來挑戰風險以及相關的紅/黃/綠狀態。RCSA的靈活性為其他風險管理活動(如風險事件、問題管理和審計結果)提供了基礎,并確保了能夠實現穩健的風險管理。其結果是,基于這種鼓勵的談話類型,可以對技術部門內部的實際風險有更深入的了解。
對我來說,在IT中使用組織的運營風險管理框架的最大好處之一是它是用業務術語編寫的。最重要的是,技術風險的表達方式與公司內的其他部門相同。這有助于董事會和其他主要利益相關方更好地理解他們面前的技術相關信息。這可以推動董事會對關鍵技術計劃的支持和認可。
相比之下,向董事會提交一系列低水平、無效的控制措施并將其歸類為風險,與潛在的負面業務影響相去甚遠。打個比方:說X位置的10臺機器沒有打補丁,與說惡意軟件風險的增加可能導致業務中斷是兩碼事。后者對關心公司福利的人來說更有意義。
混合方法:使用兩種方法來加強整體結果
與大多數論點一樣,雙方都有自己的正確觀點。這就是為什么我認為技術風險經理應該堅持風險管理,信息安全治理經理應該堅持信息安全控制的應用和治理的原因所在。
確保遵守業界所認可的信息安全框架對任何組織來說都有很大的價值。而信息安全團隊對此負有責任。安全團隊的控制合規工作應確定風險領域,并將其納入RCSA的總體文件中,以告知信息安全的相關風險和現有控制的運行有效性。當在這種情況下概述信息安全風險時,任何所需的補救工作都是在程序級別上完成的,而不是以逐個控制的方式零碎完成的。未經授權的訪問風險超出了容忍范圍?那就讓我們啟動一個身份和訪問管理程序來有效地解決風險。
信息安全只是IT中可能面臨風險的一個領域。與管理IT部門相關的財務風險如何?無效變革的風險又如何?
當信息安全治理經理正在運行一個強大的計劃來確保在信息安全中能夠適當地應用控制時,技術風險經理卻坐在整個技術部門,然后問這樣一個問題:“這對業務來說意味著什么?”RCSA有助于使用與公司其他人相同的語言來表達IT風險,確保所有高層都能夠理解。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號