建立风险管理文化
学习目标
完成本单元后,您将能够:
- 列出实施整体风险管理方法要考虑的问题。
- 确定促进合作的行动。
- 描述如何创建全生态系统的网络弹性计划。
让我们继续探讨世界经济论坛 (WEF) 针对石油和天然气 (OG) 行业的网络弹性原则。
OG4 原则:整体风险管理
OG 行业的组织董事会应通过为网络弹性计划提供适当的授权、资金、资源和责任制来管理整个 OG 生态系统的网络风险。
董事会在组织内实施网络弹性时应考虑这些问题:
- 内部和外部各方对组织构成哪些风险?
- 需要哪些经济和人力资源来实现相应的整体网络安全风险管理目标?
- 当前的风险管理方法如何涵盖供应链的网络风险?
实施整体风险管理方法
实施整体风险管理方法的建议活动包括:
- 识别供应链和价值链中的网络风险,并与相关合作伙伴合作,减轻其脆弱性。
- 与其他业务部门合作,定义并量化网络风险承受能力。
- 对供应链和价值链依赖关系进行审查,确定与网络威胁相关的盲点和高风险。
- 确保风险管理行动和工具与整个生态系统采用和接受的整体方法(例如,安全评估、问卷调查和审计)一致。
- 采用行业公认的常用风险框架,如国际标准化组织和国际电工委员会 (ISO/IEC) 27000 系列、美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF) 或网络安全能力成熟度模型 (C2M2)。
建议的指标包括:
- 评估的战略供应商和合作伙伴的百分比(网络弹性尽职调查),并在其合同中加入安全条款。
- 组织风险分析中所包括的严重系统风险(影响整个行业)的数量。
- 根据业务影响分析信息,对关键业务资产、职能部门、供应商和合作伙伴等进行风险评估(风险识别、分析和评估的整个过程)的频率。
- 风险管理流程涵盖的关键资产数量。
我们来看一个示例
网络风险接受的可扩展过程
Carolyn 是一家油田服务公司的高管;公司的方法是记录网络风险管理,并将网络威胁视为对业务运营的危害。为了确保网络安全是当务之急,Carolyn 领导进行内部和供应商安全审查,作为公司采购和发展的一部分。
这个过程有四个不同的步骤:申请、评估、批准和跟踪。提出要求时,Carolyn 的团队根据稳定、可重复和可扩展的控制库进行风险评估,考虑数据分类和业务流程关键性等因素。这个过程还需要业务、法律和信息技术 (IT) 部门的批准,根据风险程度确定级别。
最后,Carolyn 采用定期的高管报告来跟踪网络威胁,包括补救措施。这种可重复和可扩展的过程确保了风险控制的一致应用,并明确指定了风险评估和跨职能风险责任人。
OG5 原则:全生态系统协作
OG 行业的组织董事会应授权其管理团队建立一种协作文化,以有效监督、监控和控制整个生态系统的风险。
董事会在组织内实施网络弹性时应考虑这些问题:
- 组织如何与网络弹性协作平台和行动小组合作?
- 什么网络弹性行动计划涵盖了组织的生态系统?
- 如何利用协作活动中的经验教训来加强组织和生态系统的网络弹性实践,以及如何创造新的机会?
我们来看一个示例。
建立全生态系统方法
Gregory 是一家能源公司的 IT 主管,该公司分散的生态系统依赖于不同的组织、合作伙伴和合资企业,贯穿其上下游业务。生态系统的每一部分都有自己的运行环境规范和不同的网络安全方法,这可能很难管理。
为了降低网络风险,Gregory 发起了一项旨在弥合这些不同运营环境之间的差距,并将运营技术 (OT) 上下游团队连接在一起的倡议。IT 团队建立了一个中心团队,以确保采用针对网络风险的通用做法和方法,实施了标准的基础架构和一致的资产库存工具,并协调流程,以持续监控 OT 环境。
通过这个中心团队,Gregory 的公司可以不断改进上下游合作伙伴组织之间的整体网络弹性控制和计划。
这一方法在改进监测和应对能力的同时平衡了防备和保护。在采用统一方法和控制方面进行协作和协调,改进了 OT 环境的监控和可视性,从而将 IT/OT 软件版本和补丁的检测和响应时间从几天缩短到几分钟。
实施全生态系统协作
董事会执行全生态系统合作原则建议开展的活动包括:
- 与生态系统合作伙伴合作,开发、改进和采用行业框架、标准和工具规定的统一方法。
- 参与并报告与政策制定者和全球标准组织的互动,以使整个生态系统的协作更加容易。
- 参与或领导网络弹性社区和倡议(在行业、国家或国际组织的管理下),鼓励信息共享,加强整个生态系统的合作,并推动集体行动。
- 与生态系统利益相关者合作,积极参与全系统网络安全信息共享机构,如石油和天然气信息共享与分析中心 (ONG-ISAC)、运营技术信息共享与研究中心 (OT-ISAC)、美国石油学会 (API)、,欧盟网络安全局 (ENISA) 等。
建议的指标包括:
- 与生态系统和行业同行的活动和互动频率。
- 与安全官员和网络响应专家(包括决策者、国家安全和情报官员以及私营部门网络响应和法律专家)会面的频率。
- 与整个生态系统的同行交换的威胁情报报告和简报的数量。
OG6 原则:全生态系统网络弹性计划
OG 行业的组织董事会应鼓励管理层与生态系统的其他成员一起创建、实施、测试和改进集体网络弹性计划和控制。
董事会在组织内实施网络弹性时应考虑这些问题:
- 我们需要保护什么数据和信息?网络弹性计划中包含什么活动?弹性计划如何涵盖组织的生态系统,包括事件响应、通信、业务连续性和灾难恢复?弹性计划是否定期经过适当的测试?
- 董事会和管理团队应支持哪些合作平台,以倡导制定集体弹性计划?
- 集体弹性计划如何反映并平衡整个生态系统响应和恢复的就绪程度?
我们来看一个示例。
能源公司助力价值链安全
Rebecca 是能源公司的董事会成员。她推动开展了一项活动,即公司与致力于信息安全的研究中心合作,以全球 OG 公司的行业高管和经理为对象开展一项调查,评估公司的网络安全准备情况。调查结果显示,在整个行业中,大多数组织都很难找到对 OT 相关能源资产有深入了解的网络安全人员,以在网络攻击发生之前识别和解决网络攻击。
Rebecca 的公司认识到,改善所有 OG 公司网络安全的一种方法是确保中小型组织能够访问先进的基于人工智能 (AI) 的监控和检测解决方案,这有助于加强数字生态系统中抵御网络攻击的薄弱环节。通过将可互用和与制造商无关的人工智能技术相结合,并有效利用原本的 OT 人的专业知识,中小型能源公司可以监控、检测和预防网络攻击——这是以前预算充足的公司才能实现的保护水平。
实施全生态系统网络弹性计划
执行全生态系统网络弹性计划建议开展的活动包括:
- 与所有业务职能部门和部门领导密切合作,制定网络弹性计划,作为组织的战略优先事项之一,并明确纳入董事会的角色。
- 定期报告网络弹性计划,包括重要更新、测试频率和结果。
- 定期进行网络安全演习和网络弹性测试,包括系统故障和后续恢复(作为演习的组成部分或重点)。
- 验证网络安全战略和计划是否与内部或外部资源、事件管理以及响应和恢复能力(从人员、流程和技术角度)相关联。
建议的指标包括:
- 进行试验的次数和采取纠正措施的数量。
- 基本业务服务中断的小时数,包括中断的经济影响。
- 网络安全准备演习(包括作为演习组成部分或重点的系统故障测试)产生的关键开放行动和封闭行动的百分比。
- 本季度实施并成功测试应急和灾难恢复计划的关键系统的百分比。
总结
在本单元中,您了解了在 OG 行业中实施整体风险管理的方法。您还了解了如何促进全生态系统的协作,以及创建全生态系统网络弹性计划的重要性。
接下来,您将进一步了解如何在 OG 行业中实施网络弹性原则,以及行业组织采用新的网络政策和原则可以采取的行动。
资源