企业风险管理可能已经过时了,但一些公民社会组织正在以创新的方式使用它。以下是它如何将您的安全程序带入未来
企业风险管理(ERM)并不新鲜。非营利医疗保健组织普罗维登斯健康与服务(Providence Health and Services)的首席信息技术官埃里克·郭伯伟特(Eric Cowperthwaite)回忆说,他第一次听到这个词是在20世纪90年代末,“它在那之前就存在了,尽管我们不这么叫它,”他说。
事实上,据RiskIQ副总裁、安全风险管理总裁、ISACA国际副总裁杰夫·斯皮维(Jeff Spivey)说,这个词可以追溯到几十年前。
“我父亲从1968年开始从事风险管理,”他说。“当时被称为‘风险管理’的东西现在被称为‘企业风险管理’。”
约翰•Shortreed国际标准组织的一员,开发了ISO 31000,其中最著名的ERM框架,框架表示已经“进化和成熟在过去的十年里,为了应对增加的风险在我们的世界”等不同的因素造成的互联互通,气候变化和经济动荡。
但经过这么多年的发展,它仍未成为大多数企业的标准操作程序。根据公司执行董事会2012年的一项客户调查,70%的受访者没有一个正式的风险偏好方法。风险偏好是汇率机制的基本原理之一。郭伯伟对这些结果并不感到惊讶。
他表示:“我的观点是,大多数安全措施基本上都是合规驱动的,即使它们存在风险因素。”
“大多数公民社会组织的想法是,‘我被要求做一些事情。当我做这些事情时,我有一个安全程序。’”
他补充说,这并不意味着没有人在做汇率机制。
他说:“我能说出一打真正参与到他们的业务中,并在ERM方面做得很好的公民社会组织。”“但我也可以列出十几个基本上只是遵守规定,保持防火墙的人。我认为如果我们将整个行业作为一个整体进行调查,我们会发现20-80模式,即只有20%的人真正了解自己的业务,所以他们可以提出管理风险的理由。”
并非所有人都认为,在实施ERM的人和专注于合规的人(通常被戏称为“复选框安全”)之间存在巨大分歧。Veracode的联合创始人、首席技术官和首席信息官克里斯•威索帕尔(Chris Wysopal)表示,他看到越来越多的安全同行“基于业务运作方式和威胁领域的现状进行威胁建模”。
在至少一个经济领域——金融领域——有强有力的证据表明,风险管理正在发挥作用。《华尔街日报》2010年10月报道,德勤对111家金融机构的调查发现,其中75%的机构有首席风险官或同等职位,这是大多数ERM框架的核心组成部分之一。
戴尔副总裁兼首席技术官约翰•麦克卢格表示,近年来,他在《财富》100强企业中看到了很多ERM的证据,“但在规模较小的公司中并不多见,而这类公司占了美国的大多数。”
英国宇航系统公司(BAE Systems)的网络安全产品组合总监威廉·马邦(William Mabon)是没有参与ERM的人之一。他表示,尽管他和公司的客户(大多在政府部门工作)非常关注数据保护,“而不是通过旨在通过审计的演练”,但他很少听到这些客户谈论ERM。
“我们每天都在生活和呼吸,这不是一个流行词,”他说。
郭伯伟认为,绊脚石不是缺乏理解,而是对ERM的难度有多么清楚的认识。
他说:“如果你进行定性风险管理,就会给人们留下大量争论的空间。当我说某件事是高风险的,首席执行官可能会看着我说,‘(即将进行的合并)风险很高,而你说的是中度风险。’”
但是,一些专家表示,无论如何,ERM都不是正确的选择。哈伯德决策研究公司(Hubbard Decision Research)的首席执行官道格拉斯•哈伯德(Douglas Hubbard)甚至就此写了一本书——《风险管理的失败》(Failure of Risk Management)。他在书中提出了三个问题:这些风险管理方法有效吗?使用这些技术的组织知道它们是否有效吗?如果它们不起作用会发生什么?
哈伯德认为,前两个问题的答案是“不”,第三个问题的答案是,这可能会给公司或其客户带来灾难性的后果。
IT-Harvest的首席研究分析师理查德·斯蒂农(Richard Stiennon)认为,ERM根本不起作用。在最近的脸书帖子中,他为他即将在国防大学(National Defense University)教授的一门关于ERM的课程提出了以下标题:“没有人会因为实施风险管理项目而被解雇——但他们应该被解雇。”
Stiennon说:“作为一名行业分析师和世界上一些最大组织的顾问,我看到他们开始从风险管理转向威胁管理。”
Bayshore Networks的首席执行官Francis Cianfrocca对此表示赞同。
“在风险管理最佳实践中,你并不能真正保护自己。企业需要的是保护,而不是风险管理。”
当然,ERM的拥护者认为这一切都是关于保护的——根据风险的种类和它可能对组织造成的损害的数量来评估需要什么样的保护。
因此,也许在我们讨论ERM的进展和价值之前,我们需要让大家了解一下ERM的定义是什么,它的一些核心目标是什么。大多数公民社会组织都同意Spivey的观点,即从一个组织可能面临的所有风险的整体视角出发,包括运营、品牌、财务、物质,当然还有信息安全。
他们也同意在多个框架和关于该主题的建议专栏中出现的观点:总体目标是以为公司提供价值的方式管理风险。或者,正如郭伯伟所说,安全专业人士应该“了解你的业务。”去和业务部门的人谈谈。他一定会觉得这很酷因为安保人员从来没这么做过。然后你就可以以有意义的方式将自己的工作与公司的业务联系起来。”
在这个总体任务中,有许多特定的目标是大多数旨在帮助企业实现ERM的框架所共有的。
它们包括:在处理风险时摆脱竖井:传统上,企业对涉及信贷、物理安全、损失预防、欺诈预防、信息安全、业务连续性、安全、合规和审计的风险有独立的监督小组。如果企业的各个部门和部门之间没有联系和沟通,就不可能进行全面的风险管理。
-定义和平衡风险偏好:如果不清楚公司愿意接受多少和什么样的风险,就很难设置业务安全控制。
“根据角色和责任,人们有不同的风险偏好,”Control Risks全球客户风险服务主管约翰尼•格雷(Jonny Gray)表示。“法律界和商业开发者的胃口是不同的。”
-推动业务:这包括经常告诫风险经理“创造和保护价值”。同样,只有理解企业如何赚钱以及哪些风险会破坏它,这才有可能。
-帮助决策者做出明智的选择和风险应对决策:大多数框架建议应对风险的五个选项,可以用缩写REITA来记住:减少它(例如通过控制);忽略它;消除它;转让(例如,购买保险);或者接受它(这和忽略它不一样)。这里的目标是通过查看整个企业的风险,而不是根据部门或功能,做出明智的选择。
-实施有效的风险控制:显然,这是REITA评估过程中所做选择的自然结果。以更低的成本实现目标:这里最常见的建议之一是,整合风险管理将意味着需要更少的人员。ERM的支持者还认为,设定优先级可以帮助企业降低风险管理成本。
-确保适当和及时的利益相关者的参与:这包括公司领导层,员工,客户,股东和业务伙伴。对内部和外部的变化做出反应:任何有效的ERM计划都必须足够灵活,能够迅速应对新出现的威胁或新的漏洞。
那么,公民社会组织和ciso在哪些方面成功或失败了达到ERM目标?麦克鲁格表示,他相信ERM已经促使人们在处理风险方面做出“更深思熟虑、深思熟虑的决定”,而安全专业人士,尤其是《财富》100强规模的大公司,正在远离“枪支、大门和警卫”。它与其说是安全,不如说是商业保障。”
但是,他说,这种进步已经被攻击者赶上甚至超过了。
他说:“威胁载体更加复杂——坏人变得越来越好。”
河滨医疗中心的首席技术官埃里克·迪瓦恩(Erik Devine)说,他的组织中最大的ERM成功之一是“找到了以较低成本确保信息安全的技术途径”。
他说,最大的挑战是试图将信息安全整合到公司的目标中,“包括患者护理、财务、合规和患者信息。”我发现,要改变一种存在了相当一段时间的哲学,存在许多挑战。”
迪瓦恩说,他还在努力控制自带设备(BYOD)文化的风险,以及它如何导致未经授权的数据泄露,尤其是在这个联邦法律、包括HIPAA和健康信息技术促进经济和临床健康法案,使得医疗机构对任何侵犯受保护健康信息的行为负有更直接的责任。
Wysopal说,他认为安全团队在识别攻击者和他们的技术方面做得更好,这让他们可以确定他们需要哪种防御的优先级。但他说,“为桌面打补丁以减少鱼叉式钓鱼仍然是一个挑战。”
“许多公民社会组织也在为Web应用程序的安全性而苦苦挣扎。他们能够覆盖高风险的应用程序,因为企业可以看到风险,但风险较低的营销型Web应用程序往往不安全,可能导致入侵。”
Stiennon说,许多企业的ERM发展和成熟的结果证明了它的失败。
“风险管理方法已在大多数大型企业中部署,并已达到高度成熟的水平。然而,入侵和成功的定向攻击正变得越来越频繁,影响也越来越大。显然,风险管理不起作用。”
Stiennon进一步指出,像“风险偏好”这样的术语在金融市场上有一定的含义,但在IT安全领域却毫无意义。
“没有20%的人愿意损失10%的资产,”他说。“真正的任务是避免代价高昂的数据丢失。在实践中,这意味着风险管理方法松散地转化为“保护一切”,这显然是不可能的。但风险管理人员,即使他们同意他们的最终目标是不可能的,认为做50%的这将减少攻击表面积,所以这是值得做的。”
关于削减成本,Stiennon坚持说这从未发生过。
“风险管理的成本极高。它通常需要一个昂贵的专业团队。他们的任何活动都不是为了阻止绕过他们控制的有针对性的袭击。”
谈到创业,斯蒂农认为,在这一领域的成功可能会给创业带来危险。信用卡公司与美国银行合作,通过风险管理确定与银行凭证盗窃相关的风险很低,并允许整个网络犯罪经济突然出现。”
那么,今天的公民社会组织和信息安全组织前进的最佳途径是什么呢?
在这方面有很多建议。几个ERM框架对成功实施风险管理的过程提供了详细的说明。但郭伯伟等专家建议对这些框架保持警惕,认为它们主要是为了遵守法规。
他说,作为尽职调查和公认做法的一部分,合规目标是值得的,“但那不是真正的风险管理。”
“一个基于风险的程序应该从根本上问自己,‘什么东西构成了我易受攻击的威胁,我该如何解决它,从而减少我的脆弱性或威胁?’”
他举例说,一个特定的人可能会被持枪的人杀死。顺从可能要求他穿防弹背心。相比之下,风险管理方法会询问是否有人对那个人构成威胁,谁拥有枪支,谁不喜欢他。
“有很多方法可以解决这个问题,”他说。“你可以把枪拿走,穿上背心,或者不去公共场所。但只有同时考虑到脆弱性和威胁,我们才能解决问题。”
Stiennon认为,CSO的工作与其说是评估风险,不如说是实践威胁管理,他说,这意味着,从攻击者的角度看攻击表面。首先,他的目标和资产估值可能与后卫的估值完全不同。
第二,攻击者不会被打了完美补丁的系统所困扰。他要么利用无法知晓或保护的零日漏洞,要么针对能够访问目标数据的个人,利用他们的身份验证和授权访问来窃取他想要的东西。”
他说,要做到这一点,就要利用公开的报告和信息共享团队,“通过研究攻击者的方法和目标,抢先一步”。分配责任给一个小组,以挫败有针对性的攻击。在风险管理团队之外做这件事。”
Cianfrocca说,他看到了乐观的理由。
他表示:“一些行业——大型制造业、军事和关键基础设施——开始意识到,他们现有的做法不够好。”
“让我着迷的是,这种紧迫感非常高。就像看大象跳舞一样。”
阅读更多关于安全领导的信息在CSOonline的安全领导部分。
这个故事,“ERM:旧的概念,新的想法”最初发表于方案 .