更为复杂的是,大学在高度监管的环境中运作。支付卡行业数据安全标准(PCI DSS)和健康保险流通与责任法案(HIPAA)仅仅是个开始。任何从教育部门根据具体计划获得资金的学校必须遵守“家庭教育权利和隐私法”(FERPA)。违反FERPA的条款可能会导致严重的处罚,包括完全失去联邦资金到学校。
此外,许多研究项目依赖于政府提供的受控非机密信息。在处理和保护这些数据时,大学必须遵守美国国家标准与技术研究院(NIST)特刊800-171的标准。
教育机构的分散性质很适合研究和学习,但它从风险管理的角度创造了孤岛。在CISO可以做任何事情之前 - 例如,创建一个全面的网络安全计划或实施监管合规控制 - 他们必须首先向不同的利益相关者群体证明他们的预算请求,这些利益相关者以不同的方式感知和沟通风险。这需要量化对风险管理者以及财务,董事会和教务长都很重要的命名法中的风险。
Axio首席执行官Scott Kannry
这可以通过以下练习来实现:
从财务角度理解机构的风险敞口。首先提出一个问题:“如果网络事件发生在我们身上,它会是什么样子?”根据学校的各个方面,如何使用技术以及该技术失败可能产生的影响,生成方案。可能有数据泄露?分级系统会中断吗?一个黑客是否可以欺骗金库中的某人将钱汇入欺诈账户?入侵我们的录取数据库是否会暴露学生的财务记录?然后采取一系列场景,围绕一个表格获得各种操作和功能人员,并使用他们的集体知识来估计这些事件的实现成本。
选择基于成熟度的网络评估框架,并将其与第1步中量化的方案保持一致。这将使您能够确定对您的安全状况产生最大影响并从那里开始工作的高成本方案的优先级。基于成熟度的方法认识到网络风险是动态的,管理它是一项全天候的努力。另一方面,合规性框架和标准永远不会消失,一旦核对清单完成并符合合规框架,往往会产生错误的信心。
保持从有意义的事件中恢复的资源和财务能力。在一天结束时,一切都转化为财务条款。努力维持财务储备和保险的适当平衡,以支付法医费用,通知要求,收入损失,被盗资金,法律费用和责任,维修费用或更换受损资产等的全部或全部费用。你怎么到那的?见第1步。
尽可能与同行进行基准比较。网络风险管理是一项共同的责任。在标准和认证只能提供一个楼层的世界中,涨潮动态是唯一能够尽可能接近或超前的方式。所有上述组成部分都有助于实现这一目标:您是否与网络计划成熟度的中位数标记一样好,或者理想情况下更好?暴露的立场有哪些风险?您是否有适当的能力和财务资源来从事件中恢复?
这四个步骤共同为CISO提供了向各利益相关方传达网络风险的手段。与其他机构相比,通过阐明事件的财务影响和呈现成熟度水平,CISO可以证明其预算要求是合理的,并改善其机构的安全状况。简而言之,它为高等教育中的首席信息安全官提供了一个使网络安全和风险管理有意义的框架。