Mary K. Pratt

企業(yè)領(lǐng)導(dǎo)人現(xiàn)在把網(wǎng)絡(luò)安全列為最高優(yōu)先事項(xiàng)，認(rèn)為它是必須加以管理的戰(zhàn)略風(fēng)險(xiǎn)。

然而，對(duì)高管和董事會(huì)成員的調(diào)查顯示，他們這項(xiàng)任務(wù)進(jìn)行的并不好。

來自威達(dá)信和微軟的《2019年全球網(wǎng)絡(luò)風(fēng)險(xiǎn)感知調(diào)查》發(fā)現(xiàn)，79%的受訪者將網(wǎng)絡(luò)風(fēng)險(xiǎn)列為自己企業(yè)最關(guān)注的五大問題之一，22%的受訪者表示這是他們最關(guān)心的問題。而只有11%的受訪者對(duì)他們企業(yè)的網(wǎng)絡(luò)應(yīng)變能力非常有信心。

與此同時(shí)，全美企業(yè)董事協(xié)會(huì)進(jìn)行的《2019-2020年上市公司治理調(diào)查》發(fā)現(xiàn)，66%的受訪者表示，他們公司在上一年的董事會(huì)議程中至少解決過一次網(wǎng)絡(luò)風(fēng)險(xiǎn)問題。然而，盡管受到董事會(huì)層面的關(guān)注，但61%的受訪者表示，他們的企業(yè)將優(yōu)先考慮業(yè)務(wù)運(yùn)營和相應(yīng)的舉措，而不是網(wǎng)絡(luò)安全。

安全部門領(lǐng)導(dǎo)表示，他們對(duì)這些發(fā)現(xiàn)并不感到意外，因?yàn)榘踩L(fēng)險(xiǎn)管理還不是很成熟，許多高管還很難高效地管理安全風(fēng)險(xiǎn)。鑒于此，他們說，他們看到很多企業(yè)在這方面犯了錯(cuò)誤。以下是他們所看到的企業(yè)管理者常見的5個(gè)錯(cuò)誤：

安全部門和業(yè)務(wù)部門未能達(dá)成一致

多位首席信息安全官和執(zhí)行顧問表示，安全運(yùn)營和業(yè)務(wù)戰(zhàn)略之間缺乏一致性仍然是風(fēng)險(xiǎn)管理中最常見的錯(cuò)誤。

埃森哲安全總經(jīng)理兼北美區(qū)負(fù)責(zé)人Ryan LaSalle指出：“很多首席信息安全官并不看重業(yè)務(wù)部門真正關(guān)心的是什么。他們看重的是技術(shù)風(fēng)險(xiǎn)，而不是對(duì)業(yè)務(wù)的影響。他們?nèi)匀贿^于相信工具，在乎有多少漏洞，但這些并不是衡量業(yè)務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。首席信息安全官應(yīng)該讓業(yè)務(wù)部門知道，他們所關(guān)心的業(yè)務(wù)事項(xiàng)存在安全問題。”

LaSalle說，安全部門和業(yè)務(wù)部門沒有統(tǒng)一的風(fēng)險(xiǎn)定義，也沒有建立他們認(rèn)為可接受的風(fēng)險(xiǎn)等級(jí)，這使得安全部門和業(yè)務(wù)部門之間隔閡越來越大，更加難以開展有效的風(fēng)險(xiǎn)管理工作——的確有這種可能。

他解釋道，“在很多情況下，業(yè)務(wù)部門和安全部門對(duì)風(fēng)險(xiǎn)及其影響的看法是不同的”，他還指出，安全部門有時(shí)并沒有告訴業(yè)務(wù)部門，固有風(fēng)險(xiǎn)與實(shí)施控制和緩解措施后的剩余風(fēng)險(xiǎn)之間有什么差別。

Ryan說，他建議首席信息安全官明確說明與具體業(yè)務(wù)目標(biāo)相關(guān)的風(fēng)險(xiǎn)，他們將怎樣降低風(fēng)險(xiǎn)，能在多大程度上降低風(fēng)險(xiǎn)，成本有多大，以便業(yè)務(wù)部門和安全部門對(duì)企業(yè)所承擔(dān)的風(fēng)險(xiǎn)都有相同的理解。他補(bǔ)充道：“換句話說，首席信息安全官必須解釋為什么這種風(fēng)險(xiǎn)對(duì)業(yè)務(wù)部門很重要。”

未能掌握全局

很多高管只是管理企業(yè)的部分風(fēng)險(xiǎn)，而不是全部風(fēng)險(xiǎn)，因?yàn)樗麄兾茨苋嬲莆兆约浩髽I(yè)的情況。

畢馬威（KPMG）網(wǎng)絡(luò)安全服務(wù)全球聯(lián)席主管Tony Buffomante指出：“人們普遍存在一種誤解，認(rèn)為企業(yè)能夠比較清楚地了解全局情況?！倍l(fā)現(xiàn)，很多首席信息安全官?zèng)]有完整的IT資產(chǎn)清單，也沒有員工和業(yè)務(wù)部門使用的所有第三方供應(yīng)商和云應(yīng)用程序的完整列表。他說：“結(jié)果是，很多企業(yè)在清單不全或者不準(zhǔn)確的情況下執(zhí)行風(fēng)險(xiǎn)評(píng)估程序?！?/p>

其他專家也認(rèn)為，首席信息安全官往往未能全面了解企業(yè)環(huán)境。原因各不相同。有時(shí)，是因?yàn)楸皇召彽墓静]有完全融入母公司。有時(shí)，是因?yàn)楦鞑块T會(huì)自行運(yùn)營技術(shù)業(yè)務(wù)，相互之間形成了孤島。不管是什么原因，這樣的情況使得首席信息安全官無法全面評(píng)估整個(gè)企業(yè)面臨的風(fēng)險(xiǎn)。

Insight安全咨詢實(shí)踐的高級(jí)經(jīng)理Mike Sprunger認(rèn)為，很多安全運(yùn)營部門甚至對(duì)自身工作也了解有限，因?yàn)樗麄儧]有使用能夠幫助他們量化風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)隨時(shí)間怎樣變化的指標(biāo)。他指出，中小企業(yè)通常不跟蹤風(fēng)險(xiǎn)指標(biāo)，因?yàn)樗麄內(nèi)狈?shí)施此類舉措的資金和專業(yè)知識(shí)，而大型企業(yè)有時(shí)也不這樣做，因?yàn)槿绱藦?fù)雜的工作讓他們不堪重負(fù)。

專家們承認(rèn)，要花費(fèi)大量精力才能全面了解技術(shù)環(huán)境和安全運(yùn)營。首席信息安全官必須依靠他們的執(zhí)行技能來打破IT工作長期相對(duì)獨(dú)立的狀態(tài)，而且他們必須優(yōu)先考慮監(jiān)管需求，創(chuàng)建能夠提供量化深度分析的指標(biāo)項(xiàng)目。

Sprunger補(bǔ)充道：“安全從業(yè)人員應(yīng)該想到采用硬性的指標(biāo)來量化風(fēng)險(xiǎn)，以可測量、可重復(fù)和切實(shí)可行的方式來量化，畢竟，風(fēng)險(xiǎn)取決于將要發(fā)生和可能發(fā)生的事情。太多的首席信息安全官關(guān)注了所有可能發(fā)生的事情，但這并不會(huì)有所幫助。為了更好地管理風(fēng)險(xiǎn)，必須考慮企業(yè)中最有可能發(fā)生的事情?！?h3>把框架要求放在第一位

企業(yè)網(wǎng)絡(luò)安全功能的挑戰(zhàn)性和復(fù)雜性催生了很多框架要求，然而，AttackIQ公司首席信息安全官兼客戶成功副總裁Christopher Kennedy認(rèn)為，過分關(guān)注使用監(jiān)管和合規(guī)框架要求來管理風(fēng)險(xiǎn)恰恰是有風(fēng)險(xiǎn)的。

他說，一些安全領(lǐng)導(dǎo)們錯(cuò)誤地過分強(qiáng)調(diào)滿足框架要求，也可以說，就是去勾選各個(gè)復(fù)選框，并將遵守框架要求視為最終目標(biāo)，而不是將資源集中在了解自己企業(yè)的獨(dú)特需求上，也沒有根據(jù)業(yè)務(wù)戰(zhàn)略調(diào)整安全措施，以縮小安全項(xiàng)目中的差距。

Kennedy說：“管理復(fù)選框占用了大量的工作，使得首席信息安全官?zèng)]有足夠的資源去處理急需解決的問題。因此，如果我作為首席信息安全官，讓我的大部分員工忙于這些框架要求，我就無法與業(yè)務(wù)部門建立密切的關(guān)系。這意味著我可能會(huì)被視為業(yè)務(wù)部門的阻礙因素，因?yàn)槲谊P(guān)注的是這些框架需求，而不是業(yè)務(wù)需求?！?/p>

Kennedy并沒有完全否定框架要求的價(jià)值，但是，他說，企業(yè)應(yīng)該把框架要求納入自己的策略中，所謂策略，是由企業(yè)及其所在行業(yè)面臨的具體的和最可能的威脅以及他們既有的風(fēng)險(xiǎn)承受能力所決定的。

同等重視每一個(gè)威脅

幾乎所有的企業(yè)面臨的威脅、攻擊途徑和漏洞都在不斷增加，首席信息安全官試圖去解決所有這些問題。然而，首席信息安全官和專家們都表示，這種寬泛的做法是錯(cuò)誤的。相反，他們應(yīng)該有所側(cè)重。

Coinbase公司的首席信息安全官Philip Martin說：“很多人一開始并沒有強(qiáng)烈地意識(shí)到自己在哪些方面最容易受到攻擊，是誰導(dǎo)致他們出現(xiàn)了漏洞;他們總是想一網(wǎng)打盡?！?/p>

Martin說，過于寬泛的做法會(huì)降低工作效果，推高開支，不能相應(yīng)地提高他們的安全狀況和風(fēng)險(xiǎn)管理能力。

為了更好地管理風(fēng)險(xiǎn)，他和其他安全領(lǐng)導(dǎo)人都認(rèn)為，企業(yè)應(yīng)該更有針對(duì)性。

Martin說：“我們需要考慮可能性和影響。受人矚目的一些新型攻擊出現(xiàn)的實(shí)在太頻繁了。企業(yè)應(yīng)該關(guān)注一下自己面臨的風(fēng)險(xiǎn)，誰在窺探你，他們?cè)诶檬裁?，然后你可以建立一個(gè)有針對(duì)性的緩解計(jì)劃，重點(diǎn)放在最有可能讓企業(yè)陷入困境的攻擊上。我們?cè)趫F(tuán)隊(duì)、預(yù)算和員工等資源方面畢竟是有限的。我們必須關(guān)注那些最有可能讓我們和我們的企業(yè)陷入困境的因素?！?/p>

例如，他介紹說，一家位于中西部的汽車零部件制造廠最需要保護(hù)的是其知識(shí)產(chǎn)權(quán)和基礎(chǔ)設(shè)施，以防外國咨詢機(jī)構(gòu)把美國企業(yè)作為目標(biāo)，而把旨在竊取現(xiàn)金的攻擊（比如通常針對(duì)金融機(jī)構(gòu)發(fā)起的攻擊）的優(yōu)先級(jí)適當(dāng)降低一些。

沒有考慮時(shí)間因素

盡管安全或者合規(guī)審計(jì)能夠讓高管們知道一個(gè)安全項(xiàng)目進(jìn)行的怎么樣，但專家警告說，這可能只是在審計(jì)時(shí)表現(xiàn)的不錯(cuò);并不能保證成功地向前推進(jìn)——特別是考慮到新的威脅會(huì)快速演變，而安全策略和風(fēng)險(xiǎn)評(píng)估必須怎樣迅速改變才能應(yīng)對(duì)這些威脅。

Buffomante說：“我們看到很多企業(yè)執(zhí)行了審計(jì)流程，但他們沒有利用實(shí)時(shí)威脅情報(bào)信息來幫助他們搞清楚當(dāng)時(shí)哪些風(fēng)險(xiǎn)與他們的企業(yè)有關(guān)。他們應(yīng)該對(duì)自己最關(guān)注的領(lǐng)域進(jìn)行持續(xù)的評(píng)估?！?/p>

Buffomante說，企業(yè)通過實(shí)現(xiàn)自動(dòng)化、機(jī)器學(xué)習(xí)和人工智能來更加實(shí)時(shí)地進(jìn)行安全評(píng)估，從而更好地滿足這些需求。然后，企業(yè)應(yīng)創(chuàng)建流程，使他們能夠更快地使用這些實(shí)時(shí)評(píng)估結(jié)果來調(diào)整和管理風(fēng)險(xiǎn)。

安全領(lǐng)導(dǎo)們說，企業(yè)還必須認(rèn)識(shí)到，有時(shí)需要一定的時(shí)間才能找到合適的措施來應(yīng)對(duì)新發(fā)現(xiàn)的風(fēng)險(xiǎn)。

LaSalle說：“目前，分析的速度超過了做出決定和采取行動(dòng)的速度?！卑踩块T必須將其納入規(guī)劃和進(jìn)度報(bào)告中。如果他們要求IT同事和業(yè)務(wù)部門處理新的威脅，把風(fēng)險(xiǎn)降到可接受的水平，那么安全部門應(yīng)該實(shí)事求是地考慮完成這類工作需要多長時(shí)間。

LaSalle說：“如果不想因?yàn)榘踩块T在安全問題上過于夸大而耽誤業(yè)務(wù)部門的正常工作。解決納入到報(bào)告中的問題時(shí)，你就必須在時(shí)間上把握好節(jié)奏。應(yīng)該采取立竿見影的逐步操作，而不是進(jìn)行大的更改，或者確保你的指導(dǎo)能夠滿足業(yè)務(wù)部門的需要?！?/p>

原文網(wǎng)址

https：//www.csoonline.com/article/3538288/5-risk-management-mistakes-cisos-still-make.html