风险量化101:入门的基础

艾伦戈维亚
作者: 艾伦戈维亚,审计委员会CrossComply客户体验总监
发表日期: 2023年10月24日

编者按:以下是AuditBoard赞助的一篇博文.

2023年9月5日,美国证券交易委员会(SEC)发布了关于网络安全风险管理的新规则,过去20年消费者文化和商业世界快速数字化转型的集体影响在这一天达到了顶峰, 策略, 治理, 和事件披露开始生效. 这些历史性的新规则要求美国证券交易委员会注册者披露其网络安全风险管理和治理流程, 从日或日之后结束的财政年度的年度报告开始 2023年12月15日. 此外,表格8-K第1项.05要求所有注册人(小型报告公司除外)开始披露 重大网络安全事件 4个工作日内开始 2023年12月18日.

这些新规则通过要求执行领导和董事会有效地执行,迫使组织自上而下地转变其IT风险计划 识别和评估网络安全风险对业务的影响. 因此,1)没有网络安全风险评估计划,或2)有网络安全风险评估计划的注册人 无法识别他们的IT风险 将很快需要在他们的组织内建立这些功能和能力. 私营澳门赌场官方下载也不能完全安全地将这些新规定一笔勾销, 作为上市公司的第三方,可能会对影响其上市合作伙伴的任何网络事件承担责任.

最近的一项民意调查显示,000名IT风险专业人员, 在审计委员会的它的风险 Now会议上进行的, 发现, 52%的受访者正在进行某种形式的风险量化. 十月是网络安全意识月, 随着2023年12月的合规日期迅速临近, 这篇博文将讨论建立一个有效的风险量化过程的重要性和好处,除了描述开始的三个技巧.

确定网络安全风险的重要性:为什么风险量化很重要

为了确定 物质 网络安全事件或风险, 澳门赌场官方下载有必要建立一个有效的流程来量化他们的it风险. 风险量化是用特定值定义风险对业务的影响的过程, 通常以美元计算. 例如, 承担客户关系管理(CRM)软件丢失所有客户数据的风险. 按美元对业务影响进行分类-财务损失或新业务损失-是有影响力的, 明白易懂, 并有助于在利益相关者报告中建立一个共同的背景. 当设置得当时, 风险量化 可以是迭代的, 使澳门赌场官方下载能够主动管理风险的持续流程, 保护宝贵资产, 并在不断变化的威胁和挑战中保持竞争优势.

开始风险量化时的三个提示

随着12月报告截止日期的临近, 那些尚未评估其IT风险的受影响公司有工作要做——尽管许多公司往往不知道从哪里开始. 以下是三个入门技巧:

  1. 理解基于神话的风险量化障碍. 经常, 起步的最大障碍是基于对风险量化本身理解不足的叙述. 其中之一 最大的神话 量化风险的唯一“正确”方法是实施 信息风险因子分析(公平) 模型. 公平是一个非常有用的定量风险分析模型,它代表了一个优秀的业务工作框架目标, 这是一个耗时的过程,可能会持续一年或更长时间. 在审计委员会的IT风险会议上进行的一项民意调查发现,只有 5% 受访者正在利用 公平, 24% 正在使用 NIST说明了, 25% 是否使用其他方法来量化他们的风险. 这有助于说明这样一个事实,即大多数澳门赌场官方下载没有资源或时间进行公平, 他们仍然可以采取措施来量化他们的风险. 最大的收获是风险量化有很多途径. 
  2. 不要从零开始——用你已有的东西. 风险量化建立在您的业务当前执行的任何定性风险评估的基础上. 而不是“从零开始”,“审计, IT和信息安全团队可以开始从符合IT安全要求和ISO等框架的过程中收集的现有风险评估数据中提取可用于风险量化的数据源和数据流, NIST和PCI DSS. “在半空中建造飞机”是一个适用于这里的短语在评估和评估风险的同时,熟悉构建网络安全风险计划. 要了解更多信息,请参阅AuditBoard 资产数据量化清单的7个步骤.
  3. 技术是一种重要的资源. 技术是在12月截止日期之前建立有效的风险量化过程的最重要的考虑因素之一, 很大程度上是因为现有的风险管理资源通常无法为风险团队提供准确可靠的网络安全风险数据. 杠杆不仅可以 IT风险管理技术 帮助启动您的风险量化工作, 正确的解决方案可以启用审计, IT风险和安全团队 组织和简化他们的风险量化流程,并自动连接他们的数据之间的点. 在理想的情况下, 技术带来了更高的效率, 您可以执行的风险量化工作越多,您就能更有效地改进您的反馈.

图1

风险量化最重要的一步是开始

通过利用组织现有的IT风险数据, 您可以开始为有效的网络安全风险管理流程构建必要的基础设施. 这样做不仅有利于遵守美国证券交易委员会的新规则,而且可以授权您的业务优先考虑其IT风险管理工作, 更好地管理其网络安全风险,使领导层能够做得更好, 以反应为决策. 了解AuditBoard的ITRM解决方案如何通过要求定制的演示来帮助团队量化其网络安全风险 在这里.

额外的资源