网络威胁和网络攻击不可避免. Cyber风险, 哪一种以前只被认为与网络安全专业人士有关, is now recognized as having the potential to threaten an entire organization. 对技术的依赖, 高效和安全的系统在新型冠状病毒肺炎大流行期间得到加强, 这使得许多澳门赌场官方下载可以在员工家里进行经营. 在这个新的工作环境中, the threat of a cyberattack can undermine the trust that stakeholders have in the organization.

Protection from cyberattacks should undoubtedly be a top priority for organizations. 许多网络攻击是可以预测的, 但它们对澳门赌场官方下载影响的严重程度只能估计. The ability to mitigate cyber风险 is based on the effectiveness of an organization’s 风险管理. 复杂的, diverse technology ecosystems and the interwoven business processes create a variety of sources of cyber风险. 对于组织来说，这些可能在频率或含义方面有所不同.

组织拥有有限的资源, 因此, 必须理解网络风险, 评估和量化. These activities are prioritized based on the implications for the organization. 根据ISACA^® 白皮书, Cyber风险量化, 网络风险量化(CRQ)——有时也被称为网络风险经济学——是一种被许多澳门赌场官方下载采用的技术，用来理解网络风险暴露，并合理化管理网络风险的选择.”¹ These techniques also aid in understanding different sources of cyber风险 and their impact. 网络安全治理的最佳实践要求管理层应提供有关组织面临的网络风险来源的信息，以实现统一的理解水平. CRQ that began as an approach to cyber风险 became integral to most enterprise 风险管理 (ERM) programs.

传统上，风险被量化为概率和影响的乘积. 通常, 比如“高”,” “medium” or “low” are assigned to these variables to perform quantification. 然而, 这种标签的分配不是基于精确的测量, 但受个人感知的影响. Although labelling does allow for some quantification, it does not necessarily reflect accurate CRQ.

“组织拥有有限的资源, 因此, 必须理解网络风险, 评估和量化.”

许多行业公认的网络安全标准都强调了通过系统风险管理过程准确量化风险的重要性. Risk identification, quantification and mitigation are essential phases of 风险管理. 通过适当的控制减轻网络风险是实施强有力的网络安全措施的一个固有方面. 对控制的评价通常等同于风险评价. 适当的控制与低风险有关, 而缺乏控制则与高风险有关. The significance of 控制s in the overall 风险管理 process cannot be ignored.

然而，CRQ不仅仅是对控制质量的评价. 例如，反病毒软件是大多数系统的重要控制手段. In the case of hermetically sealed or air-gap systems with no external interfaces, 这种控制可能没有其他连接系统那么重要. 因此, 如果没有对背景进行彻底的评估，则对控制的有效性进行评估可能不会产生足够的CRQ.

测量也是CRQ的核心. The elements used to calculate CRQ must be measured and quantified correctly. 依赖近似有其缺陷. CRQ练习的参与者可能会被要求使用描述性术语(如“可能”)描述事件发生的频率,“often”和“often”.然后这些话被翻译成数值. This technique, however, suffers from inaccuracies, bias and individual cognition. 一个被调查者, 例如, 可能认为标签“频繁”是60%的时间, 而其他人可能认为是85%甚至更高. 进一步的反应可能会被参与者的偏见和认知所扭曲. It is 因此, desirable, to adopt techniques that minimize the possibility of any bias.

网络安全日益重要，使得各组织更愿意投资于网络安全控制和工具，以防范网络攻击. 其中许多工具都在不断地扫描网络威胁的指标. 应用层防火墙, 例如, 是否总是扫描来往于应用程序的流量. 它像其他工具一样，分析大量的数据. 传统上, these firewalls have been considered a 网络安全 measure rather than a measurement tool. The data processed by the various tools can serve as rich repositories and inputs to CRQ. 处理数据产生参数, indicators and measures can be presented systematically through reports or dashboards. This concept is analogous to 安全 information and event management (SIEM) tools that collect data, 尽管原因完全不同.

It is also beneficial to include external data sources for relevancy in CRQ computations. 在与外部世界进行基准测试或分析组织尚未经历的事件时，外部数据(包括安全漏洞报告(如全球威胁情报报告))可能很有用. 因此，内部和外部数据的组合可能是有用的. 各种服务组织提供基于公共可见技术元素或属于各种组织的服务的信息和安全度量. 例如, 无效的传输层安全(TLS)证书是一个参数，在没有侵入性活动的情况下是公开可见的. 这样的边界有助于识别与系统相关的安全问题. 这些信息在识别和量化网络风险时很有帮助.

A significant cyber风险 that has been of concern since 2020 is the supply chain attack. Such cyberattacks initially compromise the 安全 of software solutions organizations offer their customers. 然后，攻击者利用这些被破解的解决方案，对购买了该软件的客户组织发起网络攻击. 因此, 与自己的组织有关的网络风险的可见性——以及供应链中跨组织的网络风险——非常重要. 相关外部数据的可用性和分析有助于评估和衡量网络风险和与自己的组织和供应链中的组织相关的CRQ.

在分析cyber风险, 无论是在供应链内还是在自己的组织内, one may come across many unique 数据元素 or parameters that measure cyber风险. 虽然其中一些代表过去的事件(i.e.，滞后指标)，其他则提出了前瞻性的设想(i.e.领先指标). 延迟指示器度量活动或事件发生后的情况, while lead indicators attempt to predict or state the possibility of a future outcome. There is an interesting association between some lead and lag indicators as they relate to cyber风险. 例如, 许多组织都有有效的漏洞管理程序(VMPs)，旨在识别和修复IT基础设施和系统中的漏洞. 识别出的漏洞代表一个延迟指示器, 因为该报告基于现有的漏洞. The information related to these lag indicators can be combined with additional data. 脆弱性数据, 当与外部扫描尝试或未经授权的网络连接相关的数据合并时, 提供一种非常不同的价值. 这些信息可用于预测未来利用漏洞进行攻击的可能性. The lead indicator provides quantifiable information and is of immense value for CRQ.

结论

CRQ对组织来说很重要, since identifying and addressing sources of cyber风险 are fundamental to maintaining adequate 网络安全. CRQ帮助澳门赌场官方下载进行网络安全自我评估，并确定纠正措施的优先级. 使用数学测量量表测量数据元素比使用受个人认知影响的定性评估更有客观性. The various 安全 tools implemented provide a rich source of data for the CRQ exercise. 以及内部数据, 外部数据源可以有效地用于识别自己和供应链中其他组织的网络风险.

考虑到众多的数据源, 数据元素, 与CRQ相关的参数和网络风险措施, 将这些元素组织到CRQ仪表板中可以提供有效的监视和数据可视化工具. Implementing CRQ requires persistent efforts, experience, expertise and a great deal of patience. Implementing CRQ is the best way forward for any organization that intends to build a sustainable, 网络风险管理的理性和可论证的方法.

尾注

¹ ISACA^®, Cyber风险量化2021年,美国,

Sandeep Godbole, CISACISM,概述个人状况, CGEIT, CEH, CISSP

Is the vice president of 信息安全 for a leading global information technology company. He has contributed to various articles on 安全 and is a published author. 他是ISACA的志愿者^® 在国家和国际两级. 他是ISACA浦那(印度)分会的前主席.