随着组织进入 2023 年和 2024 年,新出现的风险不断出现,安全团队必须做好准备,以应对和减轻对人员、运营和资产的潜在威胁。
美国的组织将继续面临自然灾害带来的更大风险,例如西部的野火、中西部的龙卷风和大西洋盆地的飓风。
自然灾害造成的损失增加可归因于许多因素,包括风险多发地区的发展和气候变化。组织必须做好减轻和应对自然风险的准备,包括拥有适当的冗余、有限的故障点或转移运营的可能性。
此外,组织必须为日益增加的人为风险和技术风险做好准备,例如主动威胁、企业间谍活动、网络攻击、恐怖主义和基础设施故障。
许多组织继续看到对支持企业和政府运营的关键基础设施的攻击不断增加。必须不断努力,确保适当识别风险并采取适当的缓解措施,以尽量减少潜在损失。
深入的防御态势部署了分层的安全方法,该方法结合了人员、流程和技术来保护资产。公司和政府实体应开发分层安全方法,以帮助检测、阻止和应对人为风险和技术风险。
进行量身定制的风险评估
尽管许多行业因地理位置而面临相同的自然灾害,但技术和人为风险可能因行业类型或设施使用而有很大差异。
由于潜在威胁的多样性,安全从业者和风险调整者应该修改他们进行评估的方式。未能考虑到业务运营和行业特定威胁的一刀切的评估很可能无法提供客户正确缓解潜在漏洞所需的结果。
相反,评估必须针对被评估组织的系统和运营进行定制,并采取所有危害的方法。
制定可能影响运营的威胁的全面列表是评估企业风险的第一步。
一旦威胁被初步识别,建立评估地点的审查半径将有助于细化作战区域内潜在的人为和技术风险。
下一步将包括根据开源和专有数据审查评估的站点人口统计数据和操作环境,以确保正确识别所有潜在威胁。
始终建议进行后续现场审查以验证所收集的信息,以确保源数据正确。
在许多情况下,组织识别的潜在威胁的初始列表未能包含在确定的审查操作半径内操作的人为风险。
例如,设施运营商未能识别在同一地理空间内运行的关键基础设施(例如管道、变电站、铁路线)或危险材料设施(例如化学品制造商、石油储存设施)可能会导致潜在的设施影响,包括需要就地避难或疏散。
了解整体威胁形势将使安全团队能够正确制定缓解策略,以帮助最大限度地减少运营影响并提高恢复运营的能力。
审查控制措施
一旦评估人员正确识别了威胁,下一步就是审查组织为保护设施和资产而部署的控制措施。
此步骤包括检查强化目标的措施、检测和延迟潜在威胁所部署的手段以及正确应对威胁的操作流程。大多数组织的标准缓解措施涉及物理屏障、安全技术、安全政策和程序,以最大限度地减少对设施影响的可能性,并帮助居住者对事件做出适当的响应。
此审查采用平衡的方法,以确保可以在不损害安全性的情况下维持预期的操作。
公共或半公共场所(如学校或教堂)的物理安全控制,采用与数据中心或发电厂等受控访问设施的安全控制截然不同的方法。
进行风险评估的安全专业人员必须考虑如何使用正在评估的设施,以确保现有的控制措施(或提议的控制措施)能够成功运行。因此,创建一个考虑设施使用类型和目标受众的评估模板至关重要。
在进行设施风险评估之前,安全专业人员必须采取平衡的方法并进行适当的研究。为每种设施使用类型创建独特的评估将为组织带来最佳结果。考虑所有潜在危险将确定设施可能面临的潜在威胁。
对设施进行完整的信息和现场审查将产生全面的结果,并为设施运营商提供风险环境的整体视图,从而制定适当的缓解策略以最大程度地减少损失。