Information Security Risk Management

Stages of ISRM

Risk Identification

• Identify assets: 哪些数据、系统或其他资产将被视为您组织的“皇冠上的宝石”?? For example, 如果资产具有机密性，哪些资产将对您的组织产生最重要的影响, 完整性或可用性受到损害? 不难看出为什么社会安全号码和知识产权等数据的保密性很重要. But what about integrity? 例如，如果一家企业属于萨班斯-奥克斯利法案(SOX) regulatory requirements, 财务报告数据中的一个小的完整性问题可能会导致巨大的成本. Or, 如果一个组织是在线音乐流媒体服务，并且音乐文件的可用性受到损害, then they could lose subscribers.
• Identify vulnerabilities: What system-level or software vulnerabilities 是否将资产的机密性、完整性和可用性置于风险之中? 组织流程中的哪些弱点或缺陷可能导致信息泄露?
• Identify threats: 资产或信息泄露的一些潜在原因是什么? For example, 贵组织的数据中心是否位于环境受到威胁的地区, like tornadoes and floods, are more prevalent? 业内同行是否正被一个已知的犯罪集团积极瞄准和攻击, hacktivist group, or government-sponsored entity? 威胁建模是一项重要的活动，它通过将风险与已知威胁以及这些威胁可能通过利用漏洞导致风险的不同方式联系起来，帮助添加上下文.
• Identify controls: 您已经采取了哪些措施来保护已识别的资产? 控制通过完全修复(补救)或降低风险实现的可能性和/或影响(缓解)直接解决已识别的漏洞或威胁。. For example, 如果您已经确定了终止用户继续访问特定应用程序的风险, 然后，控件可以是一个进程，在用户终止时自动从该应用程序中删除用户. 补偿控制是间接解决风险的“安全网”控制. Continuing with the same example above, 补偿控制可以是季度访问审查过程. During this review, 应用程序用户列表与公司的用户目录和终止列表进行交叉引用，以查找具有未经授权访问的用户，然后在发现未经授权访问时主动删除该用户.

Information Security Risk Assessments

这是将你收集到的有关资产的信息进行组合的过程, vulnerabilities, and controls to define a risk. 为此有许多框架和方法, 但你可能会用到这个方程的一些变体:

风险=(威胁x漏洞(利用可能性x利用影响)x资产价值)-安全控制

注意:这是一个非常简化的公式类比. 计算概率风险远没有这么简单，这让每个人都很沮丧.

Risk Management Strategy

一旦对风险进行了评估和分析，组织将需要选择治疗方案:

• Remediation:实现完全或几乎完全修复潜在风险的控制.
  Example: 您已经识别了存储关键资产的服务器上的漏洞, 然后为这个漏洞打补丁.
• Mitigation降低风险的可能性和/或影响，但不完全解决它.
  Example: 您已经识别了存储关键资产的服务器上的漏洞，而不是 patching the vulnerability, 您实现了一个防火墙规则，该规则只允许特定系统与服务器上的易受攻击的服务进行通信.
• Transference: 将风险转移到另一个实体，这样您的组织就可以从风险发生的成本中恢复过来.
  Example: 您购买的保险将涵盖在易受攻击的系统被利用时可能造成的任何损失. (注意:这应该用于补充风险补救和缓解，但不能完全取代它们.)
• Risk acceptance: Not fixing the risk. 如果风险明显很低，并且修复风险所花费的时间和精力比实现风险所产生的成本要多，那么这是合适的.
  Example: You have identified a vulnerability on a server but concluded that there is nothing sensitive on that server; it cannot be used as an entry point to access other critical assets, 成功利用这个漏洞是非常复杂的. 因此，您决定不需要花费时间和资源来修复漏洞.
• Risk avoidance: 消除所有已识别风险的暴露 
  Example: 您已经确定了操作系统(OS)的服务器，这些服务器即将达到生命周期，并且将不再从操作系统创建者那里收到安全补丁. 这些服务器处理和存储敏感和非敏感数据. 以避免敏感数据被泄露的风险, 您可以快速地将敏感数据迁移到更新的数据中, patchable servers. 服务器继续运行并处理非敏感数据，同时制定计划使其退役并将非敏感数据迁移到其他服务器.

Risk Communication Strategy

无论如何处理风险，决策都需要在组织内部进行沟通. 利益相关者需要了解处理或不处理风险的成本以及该决定背后的基本原理. 责任和责任需要明确定义，并与组织中的个人和团队联系起来，以确保在过程中正确的时间投入正确的人员.

Rinse and Repeat

This is an ongoing process. 如果你选择了需要实施控制的治疗方案, 这种控制需要持续监测. 您可能会将此控制插入到随时间变化的系统中. Ports being opened, code being changed, 任何其他因素都可能导致您的控制在最初实施后的几个月或几年内崩溃.

ISRM Process Ownership

在ISRM过程中有许多利益相关者，每个利益相关者都有不同的责任. 定义这个过程中的各种角色, 以及与每个角色相关的责任, 确保这一过程顺利进行的关键步骤是什么.

Process Owners: At a high level, 一个组织可能有一个拥有企业风险管理(ERM)程序的财务团队或审计团队, 而信息安全或信息保障团队将拥有ISRM计划, which feeds into ERM. 这个ISRM团队的成员需要在现场，不断推动过程向前发展.

Risk Owners: 个体风险应该由最终使用预算来解决问题的组织成员承担. 换句话说，风险所有者有责任确保风险得到相应的处理. 如果你批准了预算，你就承担了风险.

In addition to risk owners, 也会有其他类型的利益相关者受到, or involved in implementing, the selected treatment plan, such as system administrators/engineers, system users, etc.

这里有一个例子:您的信息安全团队(流程所有者)正在推动ISRM流程向前发展. 确定了对公司客户关系管理(CRM)系统可用性的风险, 并与您的IT主管(CRM系统所有者)和日常管理该系统的IT人员(CRM系统管理员)一起工作。, 您的过程所有者收集评估风险所需的信息.

假设您的CRM软件已经就位，可以支持公司的销售部门, 客户关系管理软件中的数据不可用，最终会影响销售, then your sales department head (i.e. 首席销售官)很可能是风险的拥有者. 风险所有者负责决定是否实现信息安全团队提供的不同处理计划, system administrators, system owners, etc. and accepting any remaining risk; however, 在实施处理计划时，系统所有者和系统管理员可能会再次参与其中. 系统用户——每天使用CRM软件的销售人员——也是这个过程中的利益相关者, 因为他们可能会受到任何治疗方案的影响.

Cybersecurity risk management is an ongoing task, 它的成功将取决于风险评估的好坏, plans are communicated, and roles are upheld. Identifying the critical people, processes, 帮助解决上述步骤的技术将为您的组织中的风险管理策略和计划创建坚实的基础, which can be developed further over time.

Read More About Regulations & Compliance

Compliance: Latest News from the Blog