在网络安全风险领域,我们经常遇到与企业语言不通的问题。这可能导致网络安全风险管理计划得不到支持。当发现网络安全风险时,困难在于以符合组织语言和目标的方式来表达它。
第三方风险属于另一个灰色地带。在组织内部,许多利益相关者(通常还有许多流程)都参与制定第三方风险管理 (TPRM) 方法(包括治理、流程和工具)。由于 TPRM 涉及大量工作,风险报告通常充满困难,甚至连主题专家也难以分析和识别风险,然后清楚地报告风险。
如果您从事第三方或网络安全风险工作,那么您就是风险专业人士。因此,您的工作就是识别和分析风险。但为了最大限度地提高效率和成功率,风险评级和跟踪风险至关重要。您需要推动风险处理决策和风险的最终补救。相反,任何可接受的风险都必须有据可查,并根据风险级别和既定程序进行定期审查。
第三方和网络安全风险实践的最终目标是管理风险并保护组织的资产。完善的计划使风险从业者能够积极推动积极变革。
识别和评估风险
无论是第三方风险还是网络安全风险,首要任务都是发现风险。在这些角色中,发现是常态,也是整个流程的基础。当前的问题通常是风险过大,因此需要了解风险水平,以便确定风险的优先次序。
风险评级通常以可能性与影响的网格形式显示。通常,组织会将风险评级系统应用于其他业务领域。这为将您的流程与既定定义联系起来创造了绝佳机会。有时,这需要与企业风险职能部门建立合作关系;有时,则需要与其他利益相关者或部门合作评估风险。在这些范围内工作时,必须定制定义以涵盖所有风险管理计划。所使用的可能性指标可能与阐明网络安全或第三方风险并不完全一致;在这些情况下,一个很好的解决方案是构建一个附加定义列表,以说明什么构成了某个可能性分数。相同的方法可以应用于影响的定义。例如,企业可能对受影响的记录数量感兴趣,但可能没有考虑受影响的服务器数量或哪些供应商可以访问您的数据湖。
这些定义主要是定性的,需要进行解释,但越能涵盖有意义的指标,就越容易获得一致的测量结果。影响和可能性评级的结果是计算风险级别的因素。同样,了解组织其他地方使用的风险级别也很重要;无论是低、中、高还是其他一组术语,您都应尽可能统一术语。如果销售团队可以将“高风险”金融交易等同于具有与高风险供应商或漏洞相同的严重性或影响力,这将帮助您阐明风险处理决策的重要性。
当面临众多风险时,人们倾向于优先考虑风险评分最高的风险,即可能性和影响组合最高的风险。这是正确的做法,但制定应对其他风险的计划至关重要。幸运的是,有许多工具可以帮助跟踪网络安全风险。人们很容易看到低风险列表,并认为它们不重要,因为它们被标记为低风险。这种心态的问题在于,它们仍然是风险。如果风险一年内得不到处理,必然会影响出现问题的可能性。因此,建议将基于风险评分的风险处理时间框架编入政策并应用于所有风险(这可能是另一个需要定义财务、运营、第三方、网络安全和其他风险之间差异的领域)。一旦违反该时间框架,风险也将成为政策例外,网络安全风险应记录在案,导致由于不遵守组织政策而导致影响分数增加。
风险处理、补救和验收
主动风险管理的一个重要部分是确定风险所有者。风险所有者是风险的责任人,因此,也是负责适当确定风险处理优先级的人。建议风险所有者尽可能担任经理,以便他们能够将风险处理纳入战略规划。风险专业人员应与风险所有者合作,协助决策,并阐明满足处理既定时间表的重要性。
处理计划应清晰明确且可行。如果某个风险所有者有多个风险,则每月与风险经理举行会议可能很合适。这将有助于确保沟通渠道畅通,并有助于将风险处理放在首位。
有些风险可以接受,但仍需要跟踪和审查。我们生活在一个不断变化的商业和技术世界中,因此今天无法处理的风险可能在一年后就有资格得到补救。管理层必须意识到并签署任何风险接受。
利益相关者需要明白,风险接受不是一个“设定好然后忘掉”的过程。它是一个活生生的过程,就像任何与风险相关的事物一样。
表达和报告风险
在确定、评估风险并制定处理计划后,您现在拥有一份更有条理的风险清单。为了帮助进行风险问责,必须向正确的利益相关者进行相关报告。当然,应该报告影响最大的风险,但适用于 CIO 的风险可能与 CFO 不那么相关。除了相关性之外,还应考虑其他因素,例如风险存在的时间以及受影响的业务线、产品或业务流程的数量。
一旦风险被整理出来,就需要向适当的团队和相应的管理层报告。根据利益相关者的不同,这可以采取每月、每季度或任何其他定期会议的形式。应该有一个可以访问以查看风险及其状态的中央仪表板,但召开会议可以有机会强调某些领域和趋势并确保更高水平的责任感。
网络安全和第三方风险都是风险管理总体动态领域的一部分。这两个过程都不应被视为独立过程,而应被整合在一起。
综合风险管理流程可能非常复杂,需要进行大量调查和分析。因此,明确阐述这项工作并利用它推动组织内部的积极变革非常重要。通过与业务部门使用相同的语言,风险专业人员可以更轻松地展示与业务部门的一致性并获得风险处理方面的支持。