新年伊始是回顾过去一年、评估行业趋势或即将发生的可能影响澳门赌场官方下载的事件的最佳时机. 这可以包括评估威胁形势, 审查风险状态或制定计划,以便在将来更好地保护澳门赌场官方下载. 众所周知,2022年被勒索软件破坏了, 数据泄露, 和开发, 让董事会(BoDs)和组织领导人发问, “我们在保护自己方面做得够不够?”
你戴的是什么样的眼镜?
风险和安全专业人员需要准备好回答棘手的问题. 但太多时候, 风险沟通的重点是组织如何得到保护,而不是保护得有多好. 这在很大程度上是由于在组织内部所戴的隐喻眼镜的类型.
玫瑰色的眼镜
对于不熟悉这个表达的人来说, 据说那些戴着玫瑰色眼镜的人以一种乐观但可能天真的方式看待事件. 关注合规和认证成就的风险专业人士通常戴着玫瑰色的眼镜. 他们的重点是通过审计. 当实现这一点时, 向涉众传达的信息是,组织已实施了令人满意的控制, 每个人都庆祝工作做得好.
描绘这幅美好的图景投射出一种错觉,即遵从性等于安全性,澳门赌场官方下载没有需要担心的风险来源. 然而, 只是因为控制是有效的, 这并不意味着组织的风险已经充分降低. 戴着玫瑰色的眼镜会误导组织领导,让他们相信一切都很好. 但这意味着如果发生意外, 他们可能会被打个措手不及,并将自己察觉到的失误归咎于风险团队.
描绘这幅美好的图景投射出一种错觉,即遵从性等于安全性,澳门赌场官方下载没有需要担心的风险来源.
马眼罩
戴眼罩就像戴玫瑰色的眼镜. 然而,在这种情况下,穿它们的是组织领导者. 尽管尽了最大努力来传达在安全和减少风险方面投资的背景和需要, 决策者可能会忽视或贬低这些举措. 从他们的角度来看, 只要组织能通过外部审核或获得合规认证即可, 他们很满意. 那些戴着眼罩的人往往看不到或不理解扩大或投资安全的必要性.
放大镜
与在前面的例子中描述的缺乏审查相反, 那些使用放大镜的人经常过度分析安全和风险信息. 他们研究在其他组织中发生的事件,希望了解安全和风险降低活动的高级细节,足以防止他们的澳门赌场官方下载成为下一个媒体头条. 虽然这种程度的审查不一定是坏事,但它并不总是健康的. 当组织领导者对自己的组织受到保护缺乏信心时,他们就会使用放大镜. 他们高度关注不符合的细节, 风险处理计划, 以及最新的威胁和漏洞,因为他们不了解在他们的组织中正在澳门赌场官方软件来降低风险.
沟通失败导致不信任
在2021年的研究中, 77%的受访者指出,他们看到“破坏性攻击的数量有所增加”, 比如勒索软件, 在过去的12个月里.”1 但另一项研究发现,“只有9%的董事会声称自己非常有信心,认为网络安全风险和向他们提出的缓解措施可以保护组织免受重大网络攻击。.”2 这种差异很大程度上是由于风险专家与组织领导者的沟通方式.
虽然以遵从性为中心的度量是有价值的, 它们并不总是为利益相关者提供足够的, 有意义或可操作的数据. 审计报告来源于时间点评估,这些评估几乎在报告后就过时了. 进一步, 在很多情况下, 对照样品测试完成, 忽略了群体中其他地方发生不合格的可能性. 而且很多时候, 审计报告在没有上下文的情况下提供给涉众, 背景或结果如何影响澳门赌场官方下载的解释. 其结果是,组织领导缺乏准备,有一种虚假的安全感,没有投资安全的紧迫感. 这使得组织非常容易受到攻击.
虽然以遵从性为中心的度量是有价值的, 它们并不总是为利益相关者提供足够的, 有意义或可操作的数据.
与此形成鲜明对比的是, 风险专家必须与组织领导者合作,了解澳门赌场官方下载目标和目的,并沟通风险. 调整度量和沟通以突出组织的风险,而不是审计的结果,这提供了上下文数据,并确保涉众可以做出明智的决策.
戴上冒险的有色眼镜
2023年,是时候戴一副新眼镜了. 组织必须从以法规遵循为中心的方法转向与法规遵循相一致的更全面的风险计划, 符合业务目标的网络安全和风险管理活动. 当一个人专注于组织目标并花时间去理解期望的战略结果时, 人们可以评估影响这些目标的所有因素, 自动化评估,以确定风险是否与目标相关被充分降低,并调整风险降低活动以加速业务. 通过这种方法, 组织不再为了获得认证而进行评估, 它使用从控制评估中获得的信息来推荐减少风险的活动,以支持业务目标.
那些戴着风险有色眼镜的人与组织领导者合作,以理解战略目标,并确定必须确保实现这些目标的关键资产和过程. 而不是仅仅关注于满足遵从性需求, 重点是评估和减轻业务风险.
风险色眼镜显示了什么?
考虑一个组织,该组织致力于通过在欧洲市场的新地区扩大对外销售来增加收入. 注重合规性的组织可能会对欧盟通用数据保护条例(GDPR)要求进行内部评估, 确定当前是否有适当的控制来满足这些要求,并报告指示组织是否符合要求的度量标准.
然而, 以风险为中心的澳门赌场官方下载首先要评估该地区的独特威胁,并确定可能阻止该组织在欧洲开展销售的风险因素. 例如, 支持不断增长的客户群可能会导致对资源的更大需求,并增加业务中断的风险. 这可能导致声誉受损和/或合同取消,并阻止组织在欧洲取得成功. 为了降低这种风险, 组织可以在欧盟部署冗余基础设施,并利用本地公用事业提供商为其客户提供高可用性和更容错的服务. 虽然这一举措可能不需要符合GDPR, 投资于这种控制的实施将减少未来收入损失的风险,并使组织能够实现其目标.
那些戴着风险有色眼镜的人帮助他们的组织领导者根据对业务目标和优先级的潜在影响做出决策. 这允许风险专家在业务上下文中报告真实的数据. 但他们在接近合规时也会使用这种眼镜. 如前所述,依靠年度审计来保证安全存在高风险. 而不是依赖于有限样本量的时间点审计, 那些戴着风险色眼镜的人专注于自动化证据收集和控制评估. 这样就可以全年不间断地进行全面人口测试. 并给出了控制效果与剩余风险的反比关系, 自动化这些活动允许风险专业人员利用他们已经在做的遵从性活动来创建一个始终在线的风险管理程序.
戴着风险色彩的眼镜,风险专业人士可以在他们的组织能够理解的情况下主动监控和沟通风险. 从这个角度来看业务结果使组织领导能够优先考虑投资,并就适当的保护级别达成一致. 因此, 他们获得了做出决定所需的相关信息,并回答了“我们受到了多大程度的保护”这个问题?”
作者的注意
建议的后续阅读:
- “增强董事会信心的可靠方法:用他们的语言传达风险——本文讨论了风险专家如何从安全的执行者转变为通过在业务环境中沟通风险来影响澳门赌场官方下载战略.
- 自动化GRC:风险管理的下一个前沿-本白皮书解释了组织如何升级他们的周期, 自动构建的复选框遵从性方法, 更全面的风险管理方案.
- “让你远离风险管理乌托邦的5件事,-本文讨论如何确保在风险评估中呈现的数据是可重复的, 准确,并在业务背景下.
- “什么是GDPR,欧盟的新数据保护法?-本网页提供了2018年颁布的欧洲安全和数据隐私法的全面概述.
尾注
1 EY, 全球信息安全研究2021, 英国,2021年
2 EY, 全球董事会风险研究, 英国,2021年
编者按
想了解更多作者对这个话题的看法,请收听“你戴的是什么样的眼镜? 你对风险的看法可能是你最大的风险ISACA的一集® 播客.
梅根·Maneval, CISM, CRISC
是互惠公司的技术产品管理总监吗. 她是一个充满激情的管理者, 风险与合规(GRC)的传播者, 国防工业基础部门(DIBS)冠军, 以及拥有超过15年支持审计经验的缩略词爱好者, 治理, 安全, 风险, 以及监管严格的市场中的合规活动. Maneval擅长于过程改进和程序迭代来解决问题, 推动创新,提高效率. 她目前领导技术产品管理团队 互惠公司. 构建未来的风险管理解决方案.