Gartner发布网络风险管理最佳实践：生命周期规划、保护和监控的三个阶段和九个核心要素

最新推荐文章于 2024-06-13 09:52:40 发布

lurenjia404

最新推荐文章于 2024-06-13 09:52:40 发布

阅读量1.1k

点赞数 26

分类专栏：信安前沿资讯文章标签：大数据

本文链接：https://blog.csdn.net/galaxylove/article/details/138966331

版权

信安前沿资讯专栏收录该内容

85 篇文章 6 订阅

订阅专栏

对于在互联数字环境中运营的企业机构，网络风险管理至关重要。安全和风险管理领导者可阅读本文，了解网络风险管理计划的基本构成。

主要发现

成功的网络风险管理计划须贯彻“五D”原则：动态化（dynamic）、分布式（distributed）、依据充分（defensible）、数据驱动（data-driven）和赋能决策（decision enabling）。
如缺少情境信息，对于网络风险数据的分析将难以提供可执行的结果。
考虑到资源的有限性和运营成本，企业机构需要根据重要性和敏感性对资产进行分类，以提高网络风险管理适应变化的能力。
为比较网络风险与企业机构的其他风险，企业机构越来越多地要求安全和风险管理（SRM）领导者阐释网络风险的财务影响。
在风险登记单中记录网络风险并与利益相关者保持沟通，对于从业务角度综合阐释网络风险、进而实现数据驱动型决策至关重要。

建议

负责管理网络风险的SRM领导者应：

利用Gartner的生命周期方法，确保网络风险管理遵循上述五D原则，确立企业机构的网络风险管理实践。
在已识别的风险与业务流程、目标和成果之间建立关联，以提供必要的情境信息，提高数据分析的洞察力。
开展影响分析，从环境、社会和治理（ESG）、隐私、运营经济性和技术角度，考察关键资产/流程的影响及其业务价值，从而对风险进行量化、明确风险责任的分配，并调整风险分析方法。
采用不同的风险评估方法（定性、定量或混合方法），以及不同类型的网络风险量化方法（即，信息风险因素分析[FAIR]、年化预期损失[ALE]、风险价值[VaR]、威胁模型、情景/决策树分析和定制模型），对风险进行分类。获取内置/预设的内部（统计）和外部（威胁情报）财务数据，以量化网络风险，并在必要时对量化方法进行调整。
采用专为目标受众设计的仪表板，及时向利益相关者传达风险信息，帮助风险负责人确定风险处置措施的优先级，做出明智的决策。

导语

“网络风险”一词，是指互联数字环境中信息和/或运营职能技术失败可能影响到企业机构目标和价值（财务损失、运营中断、损害或不良后果）的风险。

网络风险可通过未经授权的访问、使用、披露、干扰、修改或破坏等电子手段施加于网络资源（包括第三方、供应链以及现有和潜在客户的网络资源）之上。

网络风险管理是现代企业管理不可或缺的组成部分，必须将其整合到业务以及更广泛的软件和数字环境中，并且尽可能全面地利用现有数据源，以避免重复工作、问卷疲劳和由于不正确的假设而产生的错误风险认知。

勒索软件攻击、数据泄露和技术故障，以及云配置不当、内部威胁和网络破坏，在日常业务运营中屡见不鲜。由于内外部利益相关者对网络风险的担忧加剧，SRM领导人面临持续压力，需要证明其对网络风险的管理是卓有成效的。

随着压力和审查的增加，许多SRM领导者面临挑战，需要逐步转变人工管理网络风险的工作方法。人工管理方法往往缺乏一致性，并且侧重于形式上的合规。采取更具动态、分布更广、依据更充分、数据驱动更明显和更明智的决策，可提高SRM领导者工作效用和效率。

Gartner已确定了网络风险管理生命周期必备的三个阶段和九个核心要素，无论企业机构实际采用哪种风险管理框架，均可使用这些要素（见图1）。

图1：Gartner网络风险管理生命周期

网络风险管理生命周期由三个阶段构成，每个阶段包含三个核心要素（共计九个要素）：

规划：利用最新的相关信息（数据驱动）来支持决策过程。

o 创建情境：明确风险范围，定义风险参数，确定风险管理战略。

o 确认重要性：实施影响分析。

o 评估风险：对网络风险和控制措施进行评估。

保护：支持风险负责人定义和确立其资产的保护级别。

o 选择控制措施：确定控制要求。

o 管理投资：在减少技术债务的同时对解决方案投资。

o 处理风险：确定整个企业机构范围的风险处理态度。

监控：基于企业机构的风险偏好，了解网络风险并减少影响。

o 授权安全系统：在基础设施和运营（I&O）和项目管理等相关组织流程中落实风险评估、安全门和治理。

o 监测风险：监测损失暴露程度、风险减少和其他指标。

o 沟通风险和问题：在风险登记单中记录风险，并与风险负责人或高管等利益相关者持续沟通。

分析

成功的网络风险管理计划应以5D原则为基础

5D规则有助于构建具备自适应能力的网络风险管理计划，对网络风险管理生命周期的每个阶段和核心要素中取得成功需要具备的条件进行了说明（见表1）。

Table 1: 网络风险管理的5D原则

5D原则	网络风险管理必备特征
动态化	采取连续的自适应流程，能及时应用于数字环境中瞬息万变的情况。
分布式	能够单独和快速地应用，为各个领域业务运营的针对性成果做出贡献。
依据充分	易于理解且合理，能够显著促进业务成果的实现。
数据驱动	根据企业机构内部情况和外部相关事实进行计算并确保分析结果与事实相称。
赋能决策	有助于风险管理者做出与价值和风险相称的明智决策。

来源：Gartner（2023年6月）

成功的网络风险管理计划须贯彻五D原则：动态化（dynamic）、分布式（distributed）、依据充分（defensible）、数据驱动（data-driven）和赋能决策（decision enabling）。

网络风险管理生命周期中应采取的步骤

下文详述了为支持遵循5D规则的网络风险管理计划，SRM领导者必须采取的行动（见图2）。

图2：网络风险管理生命周期（详细图解）

一、规划

如果缺少情境信息，对于网络风险数据的分析将难以提供可执行的结果。

此阶段包括与控制措施需求相关的功能和活动，以及配套的规划活动和要求。SRM领导者需要了解资产和流程的情境信息，从猜测变为了解，从而在风险评估中利用正确的数据来提出适当的风险优化措施。

1、创建情境

确定风险范围和定义风险参数是任何网络风险管理战略的基础。定制风险范围的深度和广度是创建情境的另一个关键部分。Gartner注意到，根据不同业务线调整风险偏好和风险承受能力的客户数量正在上升。这些客户还定义了风险参数，以便在整个企业机构内对风险进行系统化地评估和连贯一致的处理。

这一要素涵盖的职能和活动包括：

制定战略业务情境：将网络风险与业务流程、业务目标和业务成果联系起来，并确定风险的责任归属。
自定义风险参数：从最佳实践参数开始，同时可根据单个战略和方法以及风险范围的不同要素（如网络风险状况、方法、分类和适用性）定制风险参数和管理流程。
使用网络资产清单：充分利用资源，使用风险范围内的准确、可靠和最新的资产，包括配置信息。
量身定制风险范围：维持将风险范围扩展到组织要素、技术域、业务流程和其他可定制分组和集合的可能性。

2、确认重要性

根据重要程度信息来确定补救活动和控制措施分配的优先级，以及对检测到的网络事件进行响应，对潜在问题做出反应，并按必要顺序恢复服务。

考虑到资源的有限性和运营成本，企业机构需要根据重要性和敏感性对资产进行分类，以提高网络风险管理适应变化的能力。分类和风险分层可确保根据所有相关资产和风险的价值/重要性确定风险缓解和资源利用的优先任务并进行优化。Gartner发现，大多数客户都基于重要性对风险分类，但是，全面的影响分析并未得到广泛实施。

这一要素涵盖的职能和行动包括：

执行影响分析：从不同的影响角度（如ESG、隐私、运营、经济或技术等角度）确定关键资产/流程，并衡量其对业务的价值，以便能够量化风险和分配风险责任，并调整分析方法。
确定活动优先顺序：根据业务关键性、风险因素或系统分类等各个方面确定风险补救活动的优先顺序。
定义风险偏好：创建机制，根据定义的风险范围确定不同层次的风险偏好和风险承受能力。
创建风险识别目录：利用运营模式内独立的风险识别过程，提供预先制备的风险目录，以支持风险评估过程。

3、评估风险

依靠基于可信分析、及时交付和通过指导为决策者赋能的方法，取得实质性的行动成果。

为比较网络风险与企业机构的其他风险，企业机构越来越多地要求SRM领导者阐释网络风险的财务影响。Gartner客户并不满足于基于场景的风险评估，已经开始基于概率和假设来制定不同策略，因为前者缺乏可信的数据支持，因此无法带来站得住脚的结果。量化网络风险，可增强其与其他风险的可比性，并提供了基于充分依据的数据和方法。

这一要素涵盖的职能和行动包括：

分类：根据可用数据进行分类，以确定下一阶段的行动路径。数据驱动的分析使决策能够考虑资产或流程的经济价值，以确定风险评估的适用方法。
执行风险评估流程：将风险评估工作流与相关数据配合使用，确定和管理不同类型的风险评估，包括一次性评估、关卡评估和组合评估。
量化风险：采用不同的风险评估方法（定性、定量或混合方法），以及不同类型的网络风险量化方法（即，FAIR、ALE、VaR、威胁模型、情景/决策树分析和定制模型）。获取内置/预设的内部（统计）和外部（威胁情报）财务数据，以量化网络风险，并在必要时对量化方法进行调整。
实施自动化：利用能够提供近实时自动化功能的技术，是现代网络风险管理的一个关键方面。这些技术通过支持自动化的风险评估、控制措施建议、控制措施有效性和成熟度测试来增强风险管理流程的各个阶段；通过自动化工作流和调查问卷来评估控制措施的实施水平；充分利用人工智能（AI）的力量。

二、保护

使用目录/框架，促进采用系统化且连贯一致的方法部署安全控制措施，根据企业的风险偏好来减少和优化其网络安全风险暴露。

这一阶段涉及与控制措施的实施及运营有关的职能和活动。SRM领导者需要利用这些功能来了解：采用控制措施是否缓解了风险，是否存在缺口，以及投资是否能达到预期效果。

1、选择控制措施

确定控制需求是战略规划流程的一部分。Gartner认识到，大多数客户通过支持确定共同安全控制和制定相关基线的网络风险管理软件的方式来使用控制目录，从而减少用户的工作量。

这一要素涵盖的职能和行动包括：

制定战略规划流程：遵循战略规划流程，根据网络/安全架构以及业务需求管理各个控制框架。
内置控制目录：利用国际性控制目录、控制框架和最佳实践来开发综合性控制菜单，同时允许纳入自定义控制项，以提高控制措施选择流程的有效性和灵活性。
自定义控制集：提供自定义和开发符合企业机构资产或运营的不同重要性类别的合理化控制集功能。
映射控制措施（对内/对外）：将控制措施与企业机构的内部政策、外部行业标准、其他监管要求和合同要求一一对应，并自动更新或与新的控制框架、标准和条例交叉对应。

2、管理投资

从长远来看，应对技术债务的网络风险应基于对实现企业长期业务目标过程中网络风险的评估，而不是基于个人的短期经济利益或战术目标。

投资于减少技术债务正变得越来越重要。随着时间的推移，企业积累了大量技术债务，对企业在不进行重大投资或更新的情况下应对网络风险的能力造成限制。这种不断增长的技术债务将影响企业实现其长期目标的能力。Gartner认为，当前的网络风险管理方法不足以实现主动规划和推动技术债务削减。各企业机构应做出明智的决定，不仅要关注短期损失和后果，还要关注重大升级的成本，推动了企业选择成本较低的补偿性控制。

这一要素涵盖的职能和行动包括：

控制投资（支持ROI）：管理对控制措施的投资，包括安全工具和服务，以支持投资回报率（ROI）计算和网络风险建模。
减少技术债务：包括承认在软件开发和基础设施维护过程中做出次优决策的结果，并采取积极措施应对这些后果，从而改善系统性能，减少维护工作并增强网络安全。
基于场景投资：基于场景的知情决策方法通过纳入多种场景、提高透明度和优化资源分配以增强战略影响来强化网络投资决策。
定义业务价值：采用注重降低业务风险和结果驱动型方法，促进加强业务价值的清晰表达。

3、处理风险

为了尽可能减少风险敞口，关键是要采用可积极主动地为确定缓解步骤的优先次序提供建议的自动化持续风险评估方法。

风险处理是决定最终采取何种行动应对评估的网络风险，以及相关行动的范围和时间框架的过程。风险处理计划必须在相关业务资产或流程的价值和所需的投资之间取得平衡（成本效益考虑）。此外，还必须考虑上文所述的风险偏好和风险承受能力。Gartner了解到，几乎所有客户都制定了风险处理计划。然而，许多计划并没有将风险处理同企业机构目标及企业风险管理联系起来。

这一要素涵盖的职能和行动包括：

制定风险处理计划：利用负责、审批、支持、咨询和知情（RASCI）矩阵、数据驱动的决策支持以及优先级排序来优化风险缓解策略。
与战略目标/目的保持一致：建立战略目标/目的与网络风险管理之间的动态协调和关联，以有效地将风险缓解与总体业务战略进行整合和实现可视化。
实施场景/假设分析：优化和推进假设分析，以全面评估不同处理方案对网络风险的潜在影响，并利用风险投资、威胁载体、攻击面、漏洞利用和业务连续性影响等要素。
支持文化变革：管理相关变革活动，如培训任务、咨询活动和意识互动（参见注1）。

三、监控

需要将安全审核纳入系统授权流程，防止将可能十分严重且处理代价高昂的网络风险带入企业机构中。

此阶段包括与监控安全控制措施和流程执行相关的功能。SRM领导者需要深入了解计划和部署的控制措施是否能够真正按照约定将风险降至最低并有效运行，以及哪些指标有助于让不同的利益相关者了解相关状态。此外，必须全面实施并不断改进控制措施，同时确保流程的成熟度与目标预期成果保持一致。

1、授权安全系统

将风险管理、安全关卡、检查点或里程碑和治理纳入企业机构的流程和生命周期中，有利于在系统投入使用之前确认其是否已经满足网络安全要求。Gartner认识到，一些客户使用的是专注于系统和授权操作方法的网络风险管理软件，如FedRAMP和NIST SP 800-39，能够进行风险评估（或安全评估和授权[SA&A]），以验证项目和系统实施是否能够妥善管理风险。

这一要素涵盖的职能和行动包括：

采用关卡方法：将安全检查点无缝集成到工作流中，包括敏捷开发、自动风险评估以及触发主动的安全活动。
与项目生命周期管理挂钩：整合安全需求并与项目管理工具挂钩，以确保在整个项目生命周期中对安全考虑因素的全面覆盖和有效管理。
实施安全策略管理：管理与控制框架相关联的安全策略和相应的标准，并基于证据收集对策略合规性进行管理，作为授权流程/工作流和策略异常处理的组成部分。
执行安全评估和授权：收集所有交付项和工作流，以满足预定义的安全评估和授权要求。

2、监测风险

监测风险，以便对相关处理进行跟踪和测试。风险计划可以不断演进，以反映企业机构外部发生的变化。

这一阶段可对已实施的处理方法进行监测，以确保其永久有效。对损失暴露程度和其他风险指标进行监控，有助于建立积极主动的网络风险功能。企业机构需要对来自内外部的事件和未遂事故/错误进行回顾性审查。然而，仅依赖这些措施只能被动地应对网络风险。Gartner建议企业寻求实施可根据企业的具体情况提供关键风险指标、衡量标准和集中的风险/威胁情报内容的解决方案。

这一要素涵盖的职能和行动包括：

实施持续控制监控（CCM）：与包括漏洞管理、网络资产攻击面管理（CAASM）、云安全态势管理（CSPM）在内的CCM工具集成，以获得对控制措施有效性的实时/近实时洞察。
执行网络安全（计划）绩效管理：从业务价值角度评估和确定安全状况和安全方案成熟度的基准，并系统地将人员、流程和技术风险、指标、投资、回报等多个方面联系起来，从而确定持续改进的领域/差距，并提供数据驱动型和指导性预算需求模拟，以帮助确定业务需求的优先级并满足业务需求，确保企业在预算范围内实现目标。
制定关键指标：开发并定制关键绩效指标，以跟踪网络风险运营职能的绩效；制定关键控制指标，以衡量现有控制措施的有效性；制定关键风险指标，以监测具体业务风险。
监控网络风险状况：主动监控并关联针对个人网络风险状况的网络威胁（也基于威胁情报），为持续更新风险状态并启动适当补救措施的做好准备。

3、沟通风险和问题

将网络风险与业务价值和成果联系起来，从而进行有效沟通，实现并维持管理层对网络风险管理的支持。

在风险登记单中记录网络风险并确保持续沟通，对于推动风险负责人实施数据驱动型决策至关重要。Gartner还观察到，一些企业机构缺乏对网络风险议题的洞察和关注，导致其在安全投资方面的决策不力。SRM领导者需要通过针对目标受众设计的仪表板和一组可定制的报表来及时传达风险，以帮助企业机构确定处理行动的优先级并做出明智的决策。

这一要素涵盖的职能和行动包括：

创建风险登记单：使用风险登记单来提供经分类、汇总、排序的网络风险列表，以帮助做出明智的决策和跟踪处理情况。
执行事件管理：制定和实施应对网络事件的战略，包括事件响应和恢复计划。应在战略或计划中包含管理/减轻影响、提供相关信息、跟踪和升级相关的内容。
使用网络风险仪表板：按受众要求划分仪表板的范围，以便持续向适当的利益相关者提供其“需要了解”的信息。此类信息应解释和探讨各种风险及其与企业机构总体业务价值和战略的联系。
生成网络风险报告：基于需求和紧迫性，生成便于理解和争取利益相关者支持的有效、动态、数据驱动的网络风险报告。企业机构必须具备从不同风险和合规角度报告安全态势的能力。

注1：文化变革

网络安全方面的企业文化变革活动是为了确保：