科技风险管理专家的CRISC认证之路:从新手到专家

作为一名风险管理从业者,多年来我已经熟悉了风险评估以及风险报告的工作。然而,我们在定义风险时遇到的一个挑战是如何使用相同的语言。例如,有些人将像勒索软件这样的威胁称为“风险”,而有些人则将未修补的系统,即技术上属于漏洞的东西称为“风险”。事实上,只有当你将威胁,比如恶意软件引入到一个漏洞中时,才会产生风险。

威胁 x 漏洞 = 风险

此外,当我们讨论威胁时,我们是如何定义它们的?我们是否将它们分为两类,一类是来自所在组织外部的威胁,另一类是内部威胁。我和我的同事经常讨论这个话题,并辩论适当的策略。当我们以为我们在进步或是理解了“风险”的时候,我们仍然会因为定义威胁、漏洞和风险而产生意见分歧和误解。

在我获得CRISC注册风险及信息系统控制认证的过程中,一个主要的目标是学习一套关于风险术语的通用知识体系,特别是专注于风险应对和报告方面,因为这是2019年我第一次尝试CRISC考试时的薄弱环节。和读这篇博客的许多人一样,我也喜欢数据和度量,所以我将分享我的分数,并分析从2019年考试差19分未过到2024年超出合格线72分的经历。

微信图片_20241021025800.png

那几年我的工作从安全领域转向了风险评估和治理领域,这样的变化导致我的信息技术与安全领域得分下降了72分至477分,而我的风险和治理领域的分数提升也很明显。

我是在医疗行业工作从事网络安全顾问的工作,我们的新领导层意识到了在我们行业中普遍存在的威胁,并专注于减少组织的风险暴露。我们一方面专注于基础工作,同时跟踪和监控评估后确定的纠正行动计划。当我们根据对组织的影响和可能性优先处理事项时,我们进行了更深入的研究。这让我想起了一句格言,“如果一切都被视为重点,那么就没有重点。”组织在人员和预算方面的资源有限,所以专注于最重要的风险成为了我们的使命。

作为专业人士,我们通过在职培训以及从经理、导师和同事那里了解了我们组织的工作流程、技术和文化。幸运的是,我的雇主每年提供培训预算,让我们可以从诸如ISACA这样的业界领袖那里学习。在2022年和2023年,我的许多同事获得了ISACA的CISA和CDPSE认证,以及其他职业认证。他们的成功激励了我,让我用比2019年更好的策略去追求CRISC认证。我使用了以下资源:

  • ISACA CRISC官方复习手册

  • ISACA CRISC官方授权培训

  • CRISC习题集

  • CRISC考试指南

我和一位同事每周有一两次聚会,每次30-60分钟,我们一起复习测验或玩ISACA在线学习模块中的各种卡片游戏。这个过程帮助我们克服了日常思维中的偏见。我们从组织的视角分析问题,当我们选择了错误答案时,我们意识到自己并没有按照“ISACA的方式”思考。就像电视剧《曼达洛人》中的那句“This Is the Way”,这意味着你可能需要放弃你固有的组织视角或思维方式,并根据ISACA的学习材料重新编程你的大脑。

以下是我二考通过CRISC考试的经验总结:

  • 我选择在考试中心而不是在家考试,因为家庭成员、工作和上门推销员都会带来干扰。

  • 我改期了两次考试。不要羞于承认自己还没有准备好。模拟考试是最明确的指示器,表明你是否准备好了。我在模拟考试中得了80%或以上的分数,然后重点复习了错题以准备正式考试。

  • 考试当天,确保你早些到达考场,带齐所需证件,并保持良好的心态。考前的晚上保证充足的睡眠。

  • 对于不熟悉的主题,如平衡记分卡,我多次阅读所有ISACA资料,并观看在线视频以加深理解。

  • 在考试过程中,我仔细阅读每个单词,以理解题目真正问的是什么。不要急于下结论,这可能导致错误的答案。

  • 区分“信号”与“噪音”,即找出重要词汇而非嵌入的干扰词或短语。

  • 我检查了两遍答案,并至少三四次检查了我不确定的问题。

从2019年第一次尝试CRISC考试到2024年二考,我花了五年时间。在这段时间里,许多人完成了令人惊叹且改变人生的成就。我的旅程是在担任风险管理从业者的同时,从导师、同事和行业最佳实践中汲取知识,学会如何恰当地识别、评估和管理我们组织内的风险。

在全球科技飞速发展的背景下,新兴技术不断涌现,信息化和数字化已经成为推动社会进步的重要力量。随着人工智能、云计算、大数据、物联网等领域的快速发展,企业面临着前所未有的机遇与挑战。一方面,技术革新为企业带来了效率提升和商业模式创新的可能性;另一方面,也给企业的信息安全和风险管理带来了前所未有的考验。ISACA的CRISC认证能够帮助你在风险管理方面成熟。祝大家在追求CRISC认证的过程中好运,并记得要用“ISACA的方式”思考!

作者:Jim Lamadrid是一位专注于医疗保健行业风险管理的网络安全顾问。