由於法規的要求,許多公司從來就沒像現在如此的重視風險管理。不管是SOX、HIPAA,還是GLBA,都要求風險分析與管理。但當組織開始尋求解決方案時,他們很快地便會發現自己在NIST 800-30、AS/NZS 4360:2004、OCTAVE,以及COSO等詞彙所構成的字母濃湯中沉浮。
要弄清這些縮寫的確是沒那麼簡單。雖然有些縮寫的確是風險管理的方法,但有些則是有助於法規遵守的架構,只是提供了高階的風險管理目標罷了。
另人更加混淆的是,風險管理會因為不同的產業,不同的適用層級,而有不同的意涵。對作業層級而言,風險管理指的是技術;但對策略層級而言,它則與企業的舵手及決策更為相關。
因此我們將更進一步地了解各種方法與架構,並檢視它們各提供了哪些優勢,以便了解字母湯中的神秘配方。
風險方法
最常見的風險管理方法有National Institute of Standards and Technology(NIST)的方法,記載於800-30文件中;還有Operationally Critical Threat, Asset and Vulnerability Evaluation(OCTAVE)方法,以及Australian/New Zealand Standard(AS/NZS) 4360:2004等。
不管是哪個方法,都必須注意一項重點,那就是風險不等同於漏洞或威脅。漏洞本身並不代表風險。風險是要看是不是人確實突破了漏洞,並對企業造成了什麼影響而定。企業的風險還有不同的種類,例如資訊與電腦安全,企業決策與財務等。
NIST方法是針對IT威脅以及其對於資訊安全風險的相關性。它的步驟如下:
-
系統特徵(System characterization)
-
威脅辨識(Threat identification)
-
漏洞辨識(Vulnerability identification)
-
控制分析(Control analysis)
-
可能性測定(Likelihood determination)
-
影響分析(Impact analysis)
-
風險測定(Risk determination)
-
控制建議(Control recommendations)
-
總結文件(Results documentation)
這項方法常被安全顧問、安全官員,以及內部IT部門拿來使用,關注的重點在系統。一些個人或小型團隊會從網路或安全實務評估,或是從組織中的人員取得資料。這項資料會用作800-30文件中風險分析步驟的輸入值。
OCTAVE不只專注在IT威脅與資訊安全風險,它還著眼於超乎系統層級的人員與程序。它使用了自我引導的討論會(workshop)方法,讓一組由管理階層、作業人員、安全與企業單位主管所組成的團隊,去做一些情境、問卷,以及檢核清單。其中情境涵括了潛在的安全事件,從有人對敏感資料進行非授權存取,到是否缺乏足以影響可用性的備援控制等。
這種作法的目的是要訓練這些進行風險分析的員工,並讓他們以團隊方式進行這些步驟,以便找出並控制公司的風險。之所以選擇這些團隊成員,是因為他們與那些造成風險的程序、技術,以及議題最為接近。
相對於NIST與OCTAVE都將焦點放在IT威脅與資訊安全風險上,AS/NZS 4360則是採取更廣泛的風險管理方法。這個方法可以用來了解企業的財務、資本、人員安全,以及企業決策等風險。雖然它也可用來分析安全風險,但這可不完全是它設計的目的,就像OCTAVE與NIST等方法一樣。
雖然這三種方法各自為政,但當你更深入探究時,你會發現它會基本上做的事情都是一樣的。它們全都是為了找出並控制風險,而舖設出的發展藍圖。每個方法都有各自的專有名詞,但它們重疊的部份可不少,它們只不過是強調的東西不一樣罷了。
你最適用何種方法
假若您的公司對風險管理還稱不上老練,但又必須遵守SOX、HIPAA,或是GLBA等規範,那麼你最好由NIST風險分析方法開始。你可能得組一個內部小組(通常由安全與IT人員組成),對遵守規範所需的步驟做一個完整的概觀,而這個方法也是基於安全以及IT而制訂的。
當這個小組徹底了解了NIST方法之後,您便可試著實作更耗時的方法,也就是OCTAVE,這個方法必須對小組成員外的人員進行風險管理訓練。然而,除非安全與營運部門主管被鼓勵參與,否則一個公司將無法認清其企業與技術風險。討論會能夠讓主管了解自己管轄範圍外的其他風險。OCTAVE最棒的地方是它還能夠增加安全計畫的能見度,幫助安全小組成員吸引更多的人加入他們這一邊。
當公司對基本的風險管理有了理解以及實務經驗後,能夠從中成長,並能將企業目標對應在安全與技術等需求上時,公司便能開始整合其他的企業風險,並建立出企業風險管理(ERM, enterprise risk management)系統。到了這個時期,公司便能試著從AS/NZS 4360中受益。
雖然企業似乎是必須學習三種不同的方法,但事實上這三種方法大約有70%是重覆的。企業可以先專注於風險管理程序(NIST)上,接著再以更廣泛的方法(OCTAVE)擴展至事業單位中,然後再成長到全面的風險方法(AS/NZS 4360)。實際的祕訣其實是開始並持續進行。
架構:CobiT, COSO, ISO 17799
例如「資訊系統稽核與控制標準」(CobiT, Control Objectives for Information and related Technology)以及COSO等架構,可有助於規範的遵守並標出風險管理的需求,但沒提供實際的風險管理方法。這些架構只將一些高階的風險管理目標視為其整體的一部份。其中CobiT可幫助企業制訂作業層級的公司風險目標,而COSO則可幫助企業制訂事業層級的組織風險目標。
CobiT是由Information Systems Audit and Control Association and the IT Governance Institute所開發,這個架構定義了企業若是要適當地管理IT,並確保IT與企業需求相對應,就必須使用哪些目標控制。該架構可區分為四個領域:規劃與組織、購置與實作、佈署與支援,以及監控與評估。每一個類別都還可細分出子類別。例如,購置與實作中就包含了取得並管理應用程式、安裝與內化(accrediting)系統,以及管理變更等子類別。
CobiT可能因為過於龐大而顯得累贅。要完全實作可能得花數年的時間。在每一個領域下,CobiT皆提供了控制目標、控制實務、目標指數、效能指數、成功因素,以及成熟度模型等。依循它的完整藍圖,可完成其34項控制目標。
雖然CobiT不是風險方法,但組織若要完成其風險管理程序,它卻提出了必需聚焦在哪些目標上。這些目標分佈在下列子類別中:
-
企業風險評估
-
風險評估方法
-
風險辨識
-
風險量測
-
風險行動計畫
-
風險接受度
-
安控方案選擇
-
風險評估承諾
CobiT是IT治理的模型,而COSO則是公司治理的模型。CobiT是由COSO架構所衍生出來的,而COSO則是由美國COSO委員會(Committee of Sponsoring Organizations of the Treadway Commission)在1985年時制訂,目的是用來防治詐欺的財務活動與報表。COSO由下列要素所組成:
-
控制環境 – 管理階層的哲學與經營風格;企業文化偏向道德或是詐欺
-
風險評估 – 風險目標的建立;管理內部與外部變革的能力
-
控制活動 – 為消彌風險所採取的政策、程序,以及實務
-
資訊與通訊 – 用來確保正確的人能夠在正確的時間取得正確資訊的架構。
-
監控 – 偵測缺陷並採取回應
COSO專注在策略層級,而Cobi則是更專注在營運的層級。你可以把CobiT想成是為了符合許多COSO目標而採取的手段,但這些目標僅限於IT的觀點。
就像CobiT與COSO一樣,ISO 17799包含了一些高階的風險管理指引,但卻不提供實際的風險方法。
ISO 17799於去年更新過,完全就是由A到Z等不同安全計畫的指南。COSO與CobiT只是列出各種不同的安全架構與反制手段的需求,而ISO 17799則是提供了如何實際開發並實作這些要素的詳細資訊。該架構的最新版包含了以下類別:安全政策、資產管理、實體與環境安全、通訊與營運管理、存取控制、和資訊安全事件管理。
ISO 17799中的這些類別,都是為了減低風險所需採取的控制。為了讓公司能夠了解控制存取、意外管理與實體安全的正確類型與層級,首先必須了解該公司現行的風險等級以及可接受的風險等級。風險管理是ISO 17799每個要素的基礎,但其架構並未指定組織該使用何種方法。
難以處理的企業問題
不管企業狀況如何,風險管理都是項終極複雜的工作。企業人員根據企業決策制訂風險管理,如設立新的生產線,併購其他公司或擴張信用等。而安全專家則較根據營運來制訂風險管理,如駭客,內部詐騙與系統可用性下降等。每一個群組都各有不同的漏洞與威脅需要擔心。
慢慢地,當各個群組認識到其他群組的漏洞與威脅也會直接影響自身的風險等級後,產業的痛苦指數也隨之升高。企業與科技本身都是相當複雜的,要確實地了解它們重覆的元素,並站在更宏觀且更高的角度來評斷風險,這並不是件容易的差事。
但是由方法以及架構產生的組合,卻可對你組織的特殊需求有所幫助。只要你搞定了這複雜的字母濃湯,你便能選擇出最適合貴企業的方案。重點是至少得開始進行風險的分析與管理程序。在這威脅以及法規要求與日俱增的時代中,這些都是不容企業忽視的。
Shon Harris,CISSP,MCSE認證,是安全訓練公司Logical Security總裁。她是安全顧問,也是美國空軍資訊戰部門的前工程師與講師。