探索网络弹性管理
学习目标
完成本单元后,您将能够:
- 列出 OG 行业的六项原则,帮助董事会管理网络风险。
- 描述如何为石油和天然气 (OG) 行业建立全面的网络安全管理模型。
- 列出需要考虑的问题,以推动“通过设计促进安全性,通过设计提高弹性”的文化。
- 解释为什么管理层应该考虑组织和更广泛的生态系统的网络风险。
石油和天然气行业网络弹性原则
以下六项原则针对石油和天然气 (OG) 行业,并补充了世界经济论坛 (WEF) 的一般网络弹性原则,以应对关键的网络弹性挑战。
- OG1.网络弹性管理
- OG2.通过设计提高弹性
- OG3.网络弹性公司责任
- OG4.整体风险管理方法
- OG5.全生态系统协作
- OG6.全生态系统网络弹性计划
OG 行业特定活动的这些原则为网络安全从业人员提供了实施支持。我们来详细了解一下这些原则。
OG1 原则:网络弹性管理
在建立全面的网络安全管理模型之前,最佳做法是确定组织正在保护哪些数据,考虑数据分类和业务流程关键性等因素。完成这项工作后,下一步是制定一个具有明确角色和责任、使命和愿景的网络安全管理框架。
OG 行业的董事会应要求管理层建立全面的网络安全管理模型。
董事会在组织内实施网络弹性时应考虑这些问题:
- 管理模型如何在信息技术 (IT)、运营技术 (OT) 和实际安全部门之间建立协作关系?有哪些有效机制支持这种关系?
- 在 IT、OT 和实际安全职能部门中建立、整合和遵守了哪些网络弹性的角色和职责?
- 确保运营和安全环境的最佳做法的现有激励措施是什么?
- 如何审查网络弹性管理模型?
实施网络弹性管理
实施网络弹性管理的建议活动包括:
- 建立一个综合管理模型,具有管理和监督 IT、OT、实际安全、健康和安全环境以及数字化转型的网络弹性。
- 确保负责主管和事务专家具有适当的权限级别,拥有执行网络安全职责的经验和资源。
- 与不同业务部门领导者密切合作,定期更新信息,确保网络弹性战略的实施和预算。
- 通过在整个组织内进行培训和提高认识活动,定期分享最佳做法,促进网络弹性文化。
建议的指标包括:
- 成功完成网络安全意识教育计划的员工百分比,该计划重点关注高风险群体(例如,董事会成员、高管、IT、工程、人力资源和财务人员)。
- 与业务部门的网络安全协作活动数量。
OG2 原则:通过设计提高弹性
OG 行业的董事会应推行“通过设计促进安全性,通过设计提高弹性”的文化,要求其管理层在记录进展的同时实施类似的标准和价值观。
董事会在组织内实施网络弹性时应考虑这些问题:
- 是否通过设计在业务的各个方面评估、嵌入和适当管理网络风险和相关影响?
- 如何建立网络风险管理的跨职能和跨部门所有权,以通过设计实现弹性?
- 如何在组织的各个部门之间协调风险管理活动?
- 正在进行的活动中如何管理直接和间接网络风险?新活动应如何针对直接和间接网络风险进行规划?
- 如何让关键人员意识到网络弹性的影响及对其角色的期望?
我们来看一个示例。
一家石油公司整合网络安全风险
Tim 是一家石油公司的董事会成员,致力于将网络安全整合到价值链(从 IT 设备到 OT 控制系统连接的能源资产)的各个方面。为了强调网络风险的重要性,Tim 和其他董事会成员以及首席执行官在一份备忘录中制定并认可了关键的网络原则,首席运营官 (COO) 和首席信息官 (CIO) 向公司传达了该备忘录.在董事会的支持下,团队得以通过增加人员和资金以及建立网络安全管理系统来加强其网络安全计划,以更好地管理风险。
实施通过设计提高弹性
通过设计实现弹性的建议活动包括:
- 为所有业务部门定义网络弹性指标和适当的激励措施,以确保在运营中实施新的网络弹性落实到位。
- 由负责网络风险和弹性的主管定期汇报网络弹性相关情况。
- 与业务部门和风险职能部门合作,使网络风险态势适应业务需求。
- 根据每个业务部门的需求及其独特风险,制定网络安全意识计划。
- 使人员具备识别和管理网络风险的能力。
- 确保通过设计让网络弹性、保护、检测和响应能力与技术和业务活动相结合。
建议的指标包括:
- 通过设计采用和集成网络弹性实践的业务部门流程的百分比。
- 接受网络弹性和意识培训(针对不同级别)的员工百分比。
- 灯塔项目作为经过设计的网络弹性模型的百分比。“灯塔”一词表示这些项目可以充当信标,引导其他寻求将人工智能 (AI) 和先进分析等尖端技术应用于设计网络弹性系统。
- 检测、响应和从导致系统故障或中断的关键网络事件中恢复的平均时间。
OG3 原则:网络弹性公司责任
OG 行业的董事会应鼓励管理层考虑针对组织和更广泛的生态系统的网络风险,检查组织的网络安全文化和实践,并探索如何管理这些风险。
董事会在组织内实施网络弹性时应考虑这些问题:
- 管理层如何看待组织向生态系统引入的网络相关风险、潜在的连锁影响以及相应的声誉风险?
- 在业务的各个方面,如何评估和管理网络风险的主要和连锁影响,以及如何评估潜在的连锁影响和相应的声誉风险?
- 组织计划如何向相关方传达引入生态系统的潜在网络风险、漏洞和事件?
我们来看一个示例。
从网络安全转向网络弹性的能源和石化公司
不同的组织有着不同的文化和风险偏好水平,这可能会对实施公司范围的网络安全政策和最佳实践造成不利影响。风险偏好是指组织或利益相关者在实施风险处理以实现其目标后承担风险的意愿。法律和监管要求应考虑这一风险偏好,以便组织或利益相关者处于监管机构规定的范围内。
为了减少网络攻击对能源和石化公司的潜在影响,首席信息安全官 (CISO) Alison 认识到,需要平衡业务部门内的风险偏好水平与利益相关者的期望,以便在整个公司全面实施网络弹性。董事会支持培训和宣传,并为进一步发展公司的网络弹性提供资源。通过确保 Alison 拥有相应的资源和支持,董事会提供了不同的方式,在实施新的网络政策和实践中建立盟友。
实施网络弹性公司责任
实施网络弹性公司责任的建议活动包括:
- 与其他业务部门指定人员和负责将网络弹性纳入其流程的个人合作。
- 如果组织遭受攻击或破坏,采取措施应对供应链合作伙伴和整个生态系统的内部网络风险。
- 使用离线恢复措施、带外通信方法和独立恢复站点来增强现有业务连续性计划,以处理网络安全相关事件,并通过设计提高弹性。
- 建立全生态系统的协作和弹性计划活动。
建议的指标包括:
- 按状态(接受、避免、减轻、转移)划分的与供应商/业务伙伴相关的严重/高网络风险的数量。
- 每季度在生态系统内检测到/分享的网络事件数量,以及补救所报告漏洞的措施。
- 预算和资源分配审查的频率,确保适当反映组织的网络风险偏好。
- 业务连续性和灾难恢复计划中包含的网络事件场景数。
总结
在本单元中,通过学习六项原则中的三项,您了解了如何为 OG 行业的组织建立全面的网络安全管理模型。您还了解了如何推进“通过设计促进安全性,通过设计提高弹性”的文化以及考虑网络风险对组织和更广泛的生态系统的重要性。
接下来,您将进一步了解如何在 OG 行业中实施整体风险管理方法以提高网络弹性,以及行业中的组织促进协作可以采取的行动。
资源