网络风险漏洞:董事会向首席信息安全官提出的主要问题
这是为 CISO 提供主动沟通策略指导的四部分系列中的第一部分,包括翻译关键信息和用执行 语言表达您的行动的方法,以便您将精力均衡地分配给响应事件、活动和威胁的重要工作,从 而减轻对企业的影响。
当您发现自己遭到入侵或易受潜在破坏性漏洞利用攻击时(例如, Log4j 漏洞的执行)),它通常会触发一系列活 动,这些活动会耗费与安全团队相关的几乎每个人的时间。如果您是 CISO,就会知道,在全面评估、遏制、缓解 并最终消除威胁之前,或者至少在您的运营可以恢复到“正常”状态之前,您将寝食难安
但 CISO 并不是唯一试图了解并尽量减少漏洞或攻击影响的人。团队中的其他高管也对时刻了解最新进展感兴趣
让我们从如何准备回答第一个问题开始:“我们承担的风险是什么,我们是否受到任何影响?”
要考虑的潜在问题:
- 关键业务系统和数据是否受到影响,这将如何影响业务?
- 我们为限制暴露采取了哪些措施,我们计划采取哪些措施?
- 关键战略合作伙伴和第三方情况如何?他们是否会让我们暴露在其他风险中?
量化网络风险暴露情况:我们所讨论的情况有多糟?
您的高管和董事会真正想知道的是,恶劣情况发生的可能性有多大,如果发生了,情况会有多糟糕?风险暴露的计 算方法是,用发生的几率乘以影响的程度,但是,董事会显然没有用这个计算公式来思考。他们考虑的是这将如何 影响您的业务关键型功能,如何保护关键数据,如何让客户满意,最后如何继续产生收入。
在评估和报告您的风险时,您需要分析所有现有网络和系统,以准确了解您的风险影响范围。您还需要查看整个业 务,以识别可能引入风险的任何第三方、合作伙伴或供应链元素。要了解您的供应商和战略合作伙伴正在采取哪些 措施来限制他们(以及您的)的暴露,您可能需要坚持不懈的耐心,不要担心惹人厌烦,这样总比被一个软件或集 成工具打个措手不及要好。
这种详细的分析有助于您回应董事会的担忧,这些担忧涉及哪些业务关键型系统、数据和运营可能受到影响,以及 这对业务意味着什么。它还可以帮助您对风险进行分层,并回答几乎不可避免的后续问题,例如“在我们的高风险 第三方中,哪些可以控制风险,哪些是我们最需要关注的?”
此外,您可以借此机会提供以下方面的见解:
- 在漏洞利用得逞的情况下,您有什么计划
- 如何“止损”以持续提供关键功能
- 如何恢复业务计划
这应该包括围绕您已经完成和正在进行的所有措施的讨论,以限制您的暴露并 提高您的运营灵活性 ,包括您的第三 方业务生态系统,以便您可以维持日常运作。
指出对业务的影响:确定我们的底线
在影响方面,它确实超出了您团队的战术响应能力。您必须全面思考以涵盖所有潜在的技术和业务影响。例如,您 将要评估和报告以下内容:
- 成本: 响应、恢复、重建、替换或转换任何受影响的应用、系统或基础架构的成本是多少?其他成本如何,例如 团队流失和其他无形的成本(这些成本是由于从其他活动中转移注意力而导致的)?
- 战略意义: 竞争优势或市场份额/地位是否有任何损失?
- 名誉受损: 客户满意度或忠诚度是否有任何变化?它是否影响了投资者关系或合作伙伴生态系统?
- 法律和合规性问题: 它是否影响合规义务或产生任何法律问题?例如,是否有可能引发投资者/客户诉讼?会产 生罚款吗?是否暴露了任何受监管或机密的数据?是否采取了合理的措施来保护客户数据,企业如何证明他们已 经采取了适当的措施来保护数据?(美国联邦贸易委员会最近发布了一条警告,称他们打算运用全部法律权力来 追究那些未能采取合理措施保护客户数据免受已知关键漏洞影响的公司。)
- 运营中断: 服务或供应链是否受到影响?是否有任何战略计划因这些活动而延迟或处于危险之中?为最大限度降 低未来影响而设计的恢复性措施有哪些?
带着这些问题的答案参加会议有助于您向董事会解释您正在处理什么问题,以及您计划如何解决问题以维持可接受 的风险水平。
查看本系列的第二部分,这部分着重于介绍如何回答“情况是否得到控制,我们是否已充分处理?”的问题。
观看此视频,详细了解如何与董事会讨论网络风险暴露及其他关键问题:
联系我们
如果您需要 事件响应服务,请记得向您的网络保险公司提及 Unit 42。
如果您认为自己可能受到了 Log4j 漏洞或任何其他重大攻击的影响,请联系 Unit 42团队的成员。Unit 42 事件响应团队将全天候为您提供服务。您还可以通过请求主动评估来采取预防措施。