关闭

网络风险量化

身体

一个主要的网络安全事件能溶解数百万美元的资产,损害甚至最强的公司的声誉。作为网络安全的关注成长和发展,公司需要与强大的防御不可避免的网络攻击,以确定漏洞和减少损失的准备。但是,如何领导知道在哪里可以在网络安全的投资吗?多少风险?什么应该优先?答案在于网络风险量化(CRQ)

网络风险量化使用行业领先的,高度核实概率模型,以更准确地描述所面临的组织的技术为基础的网络安全和风险。甫瀚已量化从一开始网络风险。利用主题专家(SME),如企业用户,资产所有者和可能先前没有列入网络风险评估关键技术的专家;同时利用现成的这些中小企业的数据,我们能够在给定的风险范围内更迅速地收集数据,并做出更准确的测量,每个因子。

作为FAIR Institute的创始顾问伙伴和领先的基于FAIR模型的软件服务提供商RiskLens的合作伙伴,Protiviti的团队由来自不同背景的各个层次的人员组成,他们都专门从事风险量化。典型的约定范围可以从持续几天的小范围约定,一直到完整的程序转换甚至维护。

相关的博客

小组讨论公平方法论火花浓厚的兴趣:重点外卖

公平的方法改变了网络专家在威胁环境下思考和谈论风险的方式,他们每天都面临着不确定性。与会者聚集在一起有一个共同的目标——了解如何更好地评估其组织所面临的网络风险,并就这些风险提交有意义和可操作的报告。


SEC对网络风险评估:告诉我们你的成本损失

上周,一个重要的美国证券交易委员会(SEC)解释指引这是我们事先分析过的快报为企业网络安全风险评估设定了标准。关于企业如何进行网络安全风险评估和报告网络安全风险的新指南的一个特别方面是,需要了解网络风险和事件的“金融影响的范围和程度”。


有意义的网络安全报告:重要的衡量标准

随着网络安全担忧的加剧,领导层正在寻找重要的指标和见解。beplay体育赌博去年年底,Protiviti在芝加哥主办了一次网络峰会,演讲者来自西北互惠银行、第一中西部银行、Zebra Technologies和ParkerGale公司。《如何衡量网络安全风险》(How to Measure Anything in Cybersecurity Risk)的作者道格•哈伯德(Doug Hubbard)也加入了我们的讨论。会谈的重点是如何利用网络安全指标与董事会进行有效沟通。


网络风险量化——来自博览会的结论
甫瀚再次曾经的赞助商2019 FAIR会议网络风险量化专家Andrew Retrum和Vince Dasta出席了会议,与其他FAIR专家会面并回答了与会者提出的问题。


网络风险评估:移动过去的“热图陷阱”
由于与每一个网络团队必须抗衡的时间,精力的限制和资源,风险评估在帮助设置优先级关键作用和选项之间做出选择。有一个严格和准确的风险评估过程中去确定一个组织的网络安全性能很长的路要走。

为什么这很重要

利用定量建模使组织能够充分理解它们在业务术语中面临的风险。这可使预算合理化、重新确定优先次序以及在最高一级充分执行和提供支助。在真正获得有用的结果之前,实施量化风险管理程序并不需要是一个漫长、乏味或沉重的障碍。计划的组成部分可以在不同的阶段实施,以对每个组织产生最大的影响。在完成程序转换之前要完成的常见项目有:

最大的风险识别:通过访谈和数据收集过程识别出最高的网络安全风险场景,并对每种风险场景进行专门的快速评估。将安全工具和团队以及关键业务负责人和涉众的贡献聚合在一起,可以对业务术语中的顶级风险进行量化。

战术风险量化:可以进行战术分析来确定给定场景或与给定资产关联的多个场景的风险暴露。目标如ROI或风险容忍度可以实现,特别是当与更广泛的计划计划并行进行时。一旦确定了这些问题,就会完成全面的分析,利用数据以及中小企业和商业领袖。

风险聚合和趋势:聚合可以用于识别围绕任意数量场景的系统风险暴露(例如,资产、控制变更或可能改变风险暴露的计划、部门、计划,甚至是整个组织)。趋势报告可以在任何时候进行,以显示随着时间的推移损失暴露的变化,从而使组织能够显示降低风险的ROI。

项目咨询:一个成功的风险量化程序的关键是规模和可持续性。甫瀚可以用风险量化程序的各个方面帮助从最初的定义项目目标化,社会化和培训,通过识别用例和实施从这一新功能在整个组织中的变化中获得价值的组织内开始运作风险量化。