在管理網(wǎng)絡(luò)風(fēng)險方面，教育機(jī)構(gòu)面臨著獨(dú)特的挑戰(zhàn)：支持教育和研究的組織結(jié)構(gòu)可能對風(fēng)險管理不利。在為全面的網(wǎng)絡(luò)安全或監(jiān)管合規(guī)計(jì)劃提出合理預(yù)算要求時，這可能是最明顯的。首席信息安全官(CISO)必須跨越多個組織邊界并傳達(dá)網(wǎng)絡(luò)風(fēng)險，理由是董事會，教務(wù)長和財(cái)務(wù)官 - 三個截然不同的利益相關(guān)者 - 都會理解。在高等教育中，學(xué)生和教授與機(jī)構(gòu)簽訂的合同與雇員與雇主簽訂的合同不同。大學(xué)必須提供更廣泛的網(wǎng)絡(luò)訪問權(quán)限，對學(xué)生 - 員工的行為保持較少的控制，并且比普通的私營企業(yè)處理更多的營業(yè)額(預(yù)科和畢業(yè))。此外，大學(xué)擁有大量的個人數(shù)據(jù)，包括社會安全號碼，經(jīng)濟(jì)援助狀況，健康記錄和課程成績。

更為復(fù)雜的是，大學(xué)在高度監(jiān)管的環(huán)境中運(yùn)作。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)和健康保險流通與責(zé)任法案(HIPAA)僅僅是個開始。任何從教育部門根據(jù)具體計(jì)劃獲得資金的學(xué)校必須遵守“家庭教育權(quán)利和隱私法”(FERPA)。違反FERPA的條款可能會導(dǎo)致嚴(yán)重的處罰，包括完全失去聯(lián)邦資金到學(xué)校。

此外，許多研究項(xiàng)目依賴于政府提供的受控非機(jī)密信息。在處理和保護(hù)這些數(shù)據(jù)時，大學(xué)必須遵守美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)特刊800-171的標(biāo)準(zhǔn)。

教育機(jī)構(gòu)的分散性質(zhì)很適合研究和學(xué)習(xí)，但它從風(fēng)險管理的角度創(chuàng)造了孤島。在CISO可以做任何事情之前 - 例如，創(chuàng)建一個全面的網(wǎng)絡(luò)安全計(jì)劃或?qū)嵤┍O(jiān)管合規(guī)控制 - 他們必須首先向不同的利益相關(guān)者群體證明他們的預(yù)算請求，這些利益相關(guān)者以不同的方式感知和溝通風(fēng)險。這需要量化對風(fēng)險管理者以及財(cái)務(wù)，董事會和教務(wù)長都很重要的命名法中的風(fēng)險。

Axio首席執(zhí)行官Scott Kannry

這可以通過以下練習(xí)來實(shí)現(xiàn)：

從財(cái)務(wù)角度理解機(jī)構(gòu)的風(fēng)險敞口。首先提出一個問題：“如果網(wǎng)絡(luò)事件發(fā)生在我們身上，它會是什么樣子?”根據(jù)學(xué)校的各個方面，如何使用技術(shù)以及該技術(shù)失敗可能產(chǎn)生的影響，生成方案。可能有數(shù)據(jù)泄露?分級系統(tǒng)會中斷嗎?一個黑客是否可以欺騙金庫中的某人將錢匯入欺詐賬戶?入侵我們的錄取數(shù)據(jù)庫是否會暴露學(xué)生的財(cái)務(wù)記錄?然后采取一系列場景，圍繞一個表格獲得各種操作和功能人員，并使用他們的集體知識來估計(jì)這些事件的實(shí)現(xiàn)成本。

選擇基于成熟度的網(wǎng)絡(luò)評估框架，并將其與第1步中量化的方案保持一致。這將使您能夠確定對您的安全狀況產(chǎn)生最大影響并從那里開始工作的高成本方案的優(yōu)先級?；诔墒於鹊姆椒ㄕJ(rèn)識到網(wǎng)絡(luò)風(fēng)險是動態(tài)的，管理它是一項(xiàng)全天候的努力。另一方面，合規(guī)性框架和標(biāo)準(zhǔn)永遠(yuǎn)不會消失，一旦核對清單完成并符合合規(guī)框架，往往會產(chǎn)生錯誤的信心。

保持從有意義的事件中恢復(fù)的資源和財(cái)務(wù)能力。在一天結(jié)束時，一切都轉(zhuǎn)化為財(cái)務(wù)條款。努力維持財(cái)務(wù)儲備和保險的適當(dāng)平衡，以支付法醫(yī)費(fèi)用，通知要求，收入損失，被盜資金，法律費(fèi)用和責(zé)任，維修費(fèi)用或更換受損資產(chǎn)等的全部或全部費(fèi)用。你怎么到那的?見第1步。

盡可能與同行進(jìn)行基準(zhǔn)比較。網(wǎng)絡(luò)風(fēng)險管理是一項(xiàng)共同的責(zé)任。在標(biāo)準(zhǔn)和認(rèn)證只能提供一個樓層的世界中，漲潮動態(tài)是唯一能夠盡可能接近或超前的方式。所有上述組成部分都有助于實(shí)現(xiàn)這一目標(biāo)：您是否與網(wǎng)絡(luò)計(jì)劃成熟度的中位數(shù)標(biāo)記一樣好，或者理想情況下更好?暴露的立場有哪些風(fēng)險?您是否有適當(dāng)?shù)哪芰拓?cái)務(wù)資源來從事件中恢復(fù)?

這四個步驟共同為CISO提供了向各利益相關(guān)方傳達(dá)網(wǎng)絡(luò)風(fēng)險的手段。與其他機(jī)構(gòu)相比，通過闡明事件的財(cái)務(wù)影響和呈現(xiàn)成熟度水平，CISO可以證明其預(yù)算要求是合理的，并改善其機(jī)構(gòu)的安全狀況。簡而言之，它為高等教育中的首席信息安全官提供了一個使網(wǎng)絡(luò)安全和風(fēng)險管理有意義的框架。