Founded in 1807, JohnWiley & Sons is the oldest independent publishing company in

196
RISING OPERATIONAL RISKS
information including names, dates of birth and some contact information,
and then posted them for sale on the dark web. The U.K. regulator was
informed and a full investigation took place. The employee responsible was
dismissed and the firm took appropriate legal action. Besides some ripples
within the company and scrutiny from the regulator, the case didn’t attract
much coverage outside of the specialized press.
I N F O R M A T I O N S E C U R I T Y S T A N D A R D S A N D F U R T H E R
R E F E R E N C E S
The international standard ISO/IEC 27001: 2013 is the best-known information
security standard, providing general guidance to firms to establish the context of
information security, governance, policies, support, communication and awareness
about information security in organizations. It provides guidance on operational
planning and control, information security risk assessment and risk treatment. These
three topics are covered in less than one page, so readers should consult other sources
for more detailed advice. In its final sections, the standard explains the role of audit
and of the management review in the context of information security.
ISO standards in general, and this one in particular, do not provide detailed, imple-
mentable guidance to firms, but rather act as evaluation grids for those that want to
achieve certification in ISO standards. Many services companies offer more practi-
cal implementation guides based on ISO 27001, usually in the form of books, tools,
consultancy kits and step-by-step approaches.
Many risk management publications focus on general aspects of governance, com-
munication and awareness with regards to information security. Another type of publi-
cation focuses on the technical aspects of cybersecurity, appropriate for IT specialists
and IT risk managers with backgrounds in computer science. For these specialists,
I recommend
New Solutions for Cyber Security
(MIT Press, 2017).
2
Most operational risk managers have neither a computer science background nor
cutting-edge technical expertise in any particular field. Non-financial risk managers
are generalists in content but should be specialists in how to address risks. They rely
on subject matter experts for the specific risk type they are helping to assess and man-
age. To paraphrase Steve Jobs: they play the orchestra.
3
Risk managers work with and
2
Edited by Howard Shrobe, David Shrier and Alex Pentland. The book is the collective work
of 28 cyber experts, who collated their views in 16 chapters focusing on, amongst other things,
management, organization, strategy, architecture and systems.
3
A fascinating scene in the movie “Steve Jobs” https://www.youtube.com/watch?v=-9ZQVlg
fEAc

Information Security Risks
197
depend on many specialists and business people. They must coordinate all the parties
and activities and ensure everything makes sense from a risk management perspective.
The case study explained in the next sections is just one of several ways to design
and execute a thematic review of information risk assessment at firm level. The aim
is to present a practical, generalist and business-based risk assessment of information
control and integrity, and to show readers how to develop their own reviews, in keeping
with the needs of their respective organizations.
To conduct the review below, I used the generic framework of risk identification,
assessment, mitigation and monitoring. The risk identification step would result in a
meaningful taxonomy for the organization.
I D E N T I F I C A T I O N : R I S K T A X O N O M Y F O R I N F O R M A T I O N
S E C U R I T Y
T y p e s o f I n f o r m a t i o n S e c u r i t y I n c i d e n t s
Information security is not limited to cyber risks. Information can be stolen, lost or
unintentionally disclosed. A laptop can be lost or it can be stolen for its information, but
neither the likelihood nor the impact would be the same. An email can be hacked, or an
employee can misuse the autofill function on an email address and inadvertently send
private information to external parties; neither the drivers nor the preventive measures
for those risks are the same. Also, the perpetrators of these losses or thefts are internal
or external to the firm and sometimes in collusion, or hybrid, like third parties and
suppliers. A study from McAfee in 2017 states that 43% of data leaks are initiated by
insiders, half of them unintentionally.
4
Contractors and consultants on site are usually
considered as internal parties and the same rules apply to them as to other employees.
Finally, paper documentation and other physical data must also be within the scope of
information risk management – for example, to avoid the risk of an audit report being
left on a train or the physical security assessment report being left on a printer.
Table 18.1 presents the taxonomy of information security risks developed for the
review. We used a four-quadrant approach: internal causes (including contracts and
consultants on site) versus external causes (including suppliers) and data theft (includ-
ing voluntary data corruption) versus data loss (including involuntary corruption and
accidental disclosure).
I n f o r m a t i o n A s s e t I n v e n t o r y
An information asset inventory is a necessary step to prepare for the assessment of
risks. It also drives the mitigation plan, as more valuable assets will naturally require the
4
Data exfiltration study: Actors, tactics, and detection. 2017. Available at: https://www.mcafee
.com/us/resources/reports/rp-data-exfiltration.pdf.

198
RISING OPERATIONAL RISKS
T A B L E 1 8 . 1
A typology of information security risks

Download 5,45 Mb.

Do'stlaringiz bilan baham: