正式的风险评估方法可以帮助消除评估IT风险时的猜测工作,如果正确应用的话。
技术是企业最重要的资产之一,对于运营或支持许多业务流程至关重要,它也是最大的风险之一,这就是为什么IT风险评估框架至关重要的原因。
IT风险评估使企业能够评估其系统、设备和数据所面临的风险,无论是网络安全威胁、中断还是其他事件,他们还可以评估这些风险的潜在影响,这些工作的主要目标是减轻任何已识别的风险,以避免数据泄露或不遵守法规等负面影响。
“在动态的IT生态系统中,强大的风险管理框架至关重要,”Shaw University的CIO Leon Lewis说。“随着数字生态系统变得越来越复杂,主动的风险管理促进了各行业的弹性和安全性。”
IT和网络安全领导者可以根据其企业的需求选择多种IT风险评估方法。以下是一些最受欢迎的框架,每个框架都旨在解决特定的风险领域。
COBIT
它是什么: 控制目标信息及相关技术(COBIT)是信息系统审计与控制协会(ISACA)的一个框架,该协会是一个专注于IT治理的国际专业协会,旨在用于IT管理和治理,它是一个广泛而全面的框架,旨在支持理解、设计和实施企业IT的管理和治理。
它的作用: 根据ISACA的说法,COBIT定义了构建和维持最佳适配治理系统的组成部分和设计因素。最新版本COBIT 2019包括六项治理原则:提供利益相关者价值,整体方法,动态治理系统,治理与管理区分开,根据企业需求量身定制,端到端治理系统。
它的运作方式: 该框架以业务为重点,定义了一组管理IT组件的通用流程。每个流程都定义了流程输入和输出、关键活动、目标、绩效衡量标准和基本成熟度模型。
值得注意的地方: ISACA表示,COBIT的实施具有灵活性,使企业能够通过该框架定制其治理策略。
“COBIT通过其对企业IT治理和管理的不懈关注,使IT基础设施与业务目标保持一致,并保持战略优势,”Rivermate的CEO Lucas Botzen表示,该公司是一家提供远程劳动力和薪资服务的供应商。
“对于企业IT的治理和管理,COBIT 是必不可少的,”Fuel Logic的CEO Eliot Vancil表示,该公司提供燃料管理解决方案。“它为创建、实施、监控和改进IT管理和控制提供了一个计划。COBIT的全面方法确保了IT与业务目标协同工作并增加了价值。”
FAIR
它是什么: 信息风险因素分析(FAIR)是一种量化和管理企业内风险的方法。根据致力于推进网络和运营风险管理学科的研究型非营利企业Fair Institute的说法,它是信息安全和运营风险领域唯一的国际标准量化模型。
它的作用: FAIR提供了一个模型,用于理解、分析和量化网络风险和运营风险,并以财务术语表达其影响。与那些输出以定性颜色图表或加权数值刻度为中心的风险评估框架不同,FAIR为开发稳健的信息风险管理方法奠定了基础。
它的运作方式: FAIR由Nationwide Mutual Insurance前CISO Jack Jones开发,主要关注为数据丢失事件的频率和规模建立准确的概率。它不是用于执行企业或个人风险评估的方法,而是为企业提供理解、分析和衡量信息风险的方式。
其组件包括信息风险的分类法、信息风险术语的标准化命名法、制定数据收集标准的方法、风险因素的测量标准、用于计算风险的计算引擎以及分析复杂风险场景的模型。
值得注意的地方: Shaw University的Lewis表示,FAIR的定量网络风险评估适用于各个行业,现在更加注重供应链风险管理和保护物联网(IoT)及人工智能(AI)等技术。
由于FAIR采用定量风险管理方法,它帮助企业确定风险如何影响其财务状况,Fuel Logic的Vancil表示。“这种方法可以让你选择如何最佳地分配安全预算以及如何平衡风险和回报。”
ISO/IEC 27001
它是什么: 国际标准化企业(ISO)/国际电工委员会(IEC)27001是一个国际标准,提供了如何管理信息安全的指导。它最初由ISO和IEC在2005年联合发布,并经过了后续的修订。
它的作用: 根据ISO的说法,ISO/IEC 27001为各个规模和各个行业的公司提供了关于建立、实施、维护和持续改进信息安全管理系统的指导。
它的运作方式: ISO/IEC 27001提倡对信息安全采取整体性方法,包括审查人员、政策和技术。根据ISO的说法,按照该标准实施的信息安全管理系统是风险管理、网络弹性和运营卓越的工具。
值得注意的地方: 符合ISO/IEC 27001意味着企业已经建立了一个系统,以管理与企业拥有或处理的数据安全相关的风险。
Vancil表示,该标准“为处理和保护私营公司数据提供了一个结构化的方法。这一标准在全球范围内使用,帮助企业保障信息安全并有效管理。”
NIST风险管理框架
它是什么: 国家标准与技术研究院(NIST)是一个美国政府机构,致力于推动测量科学、标准和技术的发展。其风险管理框架(RMF)提供了一个全面、可重复和可衡量的七步流程,供企业用来管理信息安全和隐私风险。
该框架链接到一套NIST标准和指南,以支持实施风险管理计划,从而满足《联邦信息安全现代化法案》(FISMA)的要求。
它的作用: 根据NIST的说法,RMF提供了一个将安全、隐私和网络供应链风险管理活动集成到系统开发生命周期中的流程。基于风险的控制选择和规范方法考虑了适用法律、指令、行政命令、政策、标准或法规所引起的效力、效率和限制。
它的运作方式: RMF的七个步骤是:
1. 准备(Prepare): 准备企业以管理安全和隐私风险的基本活动。
2. 分类(Categorize): 根据影响分析对系统和处理、存储及传输的信息进行分类。
3. 选择(Select): 根据风险评估选择保护系统的控制措施集。
4. 实施(Implement): 部署控制措施并记录其部署方式。
5. 评估(Assess): 确定控制措施是否到位、按预期运行并产生所需结果。
6. 授权(Authorize):由高级管理人员根据风险做出授权系统运行的决策。
7. 监控(Monitor):持续监控控制措施的实施情况和系统的风险。
值得注意的地方:RMF“提供了一个程序化和有序的流程,帮助企业将安全性嵌入到整体风险管理过程中,从而使企业与联邦法规保持一致,”Botzen说。
Vancil指出,NIST框架很有帮助,因为它提供了一个完整的计划,用于发现、评估和减少风险。“它还企业了在系统开发生命周期中纳入安全和风险管理任务,确保从一开始就考虑安全问题。”
OCTAVE
它是什么: 运营关键威胁、资产和漏洞评估(OCTAVE)是由卡内基梅隆大学(CMU)的计算机应急响应小组(CERT)开发的一个框架,用于识别和管理信息网络安全风险。
它的作用: 该模型定义了一种全面的评估方法,使企业能够识别对其任务重要的信息资产、这些资产面临的威胁以及可能使这些资产暴露于威胁中的漏洞。
它的运作方式: 根据CMU的软件工程研究所,通过将信息资产、威胁和漏洞整合在一起,企业可以开始理解哪些信息处于风险之中。基于这种理解,他们可以设计和实施一种保护策略,以减少其信息资产的整体风险暴露。
值得注意的地方: OCTAVE有两个版本:OCTAVE-S,这是一种简化的方法,适用于具有扁平层级结构的小型企业,OCTAVE Allegro,则是一个更全面的框架,适用于大型企业或具有复杂结构的企业。
Vancil说:“OCTAVE非常适合那些希望确保其IT风险管理与业务目标一致的公司,因为它处理的是企业风险和战略问题。它对重要资产的发现和漏洞评估的关注,帮助企业正确地进行安全努力。”
该框架“从企业的角度识别和管理风险,这对于了解不同风险如何影响各种业务运营至关重要,”Botzen说。
TARA
它是什么: 威胁评估与补救分析(TARA)是一种工程方法学,用于识别和评估网络安全漏洞,并选择能够缓解这些漏洞的对策,根据MITRE(一个专注于包括网络安全在内的技术领域研究与开发的非营利企业)的说法。
它的作用: 该框架是MITRE系统安全工程实践组合的一部分,侧重于在采购过程的早期阶段改善系统的网络安全卫生和弹性。
它的运作方式: TARA使用一个存储数据的目录来为识别可能被用于利用系统漏洞的攻击向量的过程提供信息,同时还提供潜在的对策,以防止这些漏洞被利用或减轻其影响。
值得注意的地方: TARA最初于2010年开发,已在超过30次网络风险评估中使用。它可以帮助企业基于整体业务影响来决定哪些风险需要认真对待,Botzen说。
Vancil表示,这一框架“非常适合专注于威胁的风险研究。它帮助团队确定他们面临的威胁以及如何阻止这些威胁。这种方法在威胁不断变化的环境中特别有效。”