業(yè)務(wù)經(jīng)理想要得到實時網(wǎng)絡(luò)風(fēng)險管理指標,但網(wǎng)絡(luò)安全團隊只能交付技術(shù)數(shù)據(jù)和階段性報告。這中間的空白需要得到填補。
幾年前,網(wǎng)絡(luò)安全人員常常哀嘆經(jīng)理們根本不想要真正的安全,他們只想要“夠好”的安全。這種說法反映出很多CEO都將網(wǎng)絡(luò)安全等同于合規(guī)。他們似乎認為,只要CISO能夠搞定PCI、HIPAA或SOX合規(guī),網(wǎng)絡(luò)安全問題就得到了解決。
那種只求“夠好”的安全態(tài)度受到了網(wǎng)絡(luò)安全人員的反感。想要好好保護企業(yè)資產(chǎn)的CISO們渴求業(yè)務(wù)高管能夠真正理解網(wǎng)絡(luò)風(fēng)險,并愿意積極參與和大力支持網(wǎng)絡(luò)風(fēng)險管理工作。
但俗話說得好,人心不足蛇吞象:2019年,業(yè)務(wù)高管們?nèi)紖⑴c了進來,結(jié)果卻是給網(wǎng)絡(luò)安全團隊制造了大麻煩。
企業(yè)戰(zhàn)略集團(ESG)最近剛剛對340位網(wǎng)絡(luò)安全、IT和風(fēng)險人員做了關(guān)于網(wǎng)絡(luò)風(fēng)險管理方面的調(diào)查。受訪者需指出對業(yè)務(wù)高管和企業(yè)董事來說最重要的網(wǎng)絡(luò)風(fēng)險指標。票選出來的四大業(yè)務(wù)面重點反映出業(yè)務(wù)需求與技術(shù)能力上的巨大鴻溝。
39%的受訪者想要與主要業(yè)務(wù)和IT項目有關(guān)的安全狀態(tài)報告。換句話說,他們想要了解與端到端業(yè)務(wù)過程相關(guān)的網(wǎng)絡(luò)風(fēng)險,而不是具體的 Windows PC、DNS服務(wù)器或軟件漏洞。網(wǎng)絡(luò)安全團隊需更好地將極客數(shù)據(jù)翻譯成業(yè)務(wù)指標。
36%的受訪者想要知道與IT審計相關(guān)的狀態(tài)及響應(yīng)。這不是什么新要求。但業(yè)務(wù)人員想要的不僅僅是斷斷續(xù)續(xù)的報告,他們想要的是能夠指導(dǎo)及時風(fēng)險緩解決策的常態(tài)化更新。為滿足這一需求,CISO必須努力實現(xiàn)持續(xù)風(fēng)險管理分析。
36%的受訪者想要針對與其他數(shù)據(jù)相關(guān)的環(huán)境漏洞的報告。沒錯,業(yè)務(wù)人員關(guān)注有漏洞的資產(chǎn),但他們真的不想看到滿是軟件漏洞細節(jié)的報告。他們更想了解任務(wù)關(guān)鍵資產(chǎn)是否容易遭到已知漏洞利用的攻擊,以便能夠重點安排諸如系統(tǒng)修復(fù)、流量分隔、訪問限制等緩解措施。換句話說,網(wǎng)絡(luò)安全團隊的漏洞報告應(yīng)重質(zhì)量而不是數(shù)量。
35%的受訪者想要更具體的安全開支投資回報。ESG的其他研究顯示,58%的公司企業(yè)計劃在2019年增加網(wǎng)絡(luò)安全開支。很明顯,高管們愿意支持網(wǎng)絡(luò)安全項目,但他們同時也想更加了解自己花出去的錢都有些什么回報。安全開支投資回報的計算并不容易,但CISO必須設(shè)法將網(wǎng)絡(luò)安全開支以業(yè)務(wù)、人力資源和技術(shù)術(shù)語表述清楚,讓公司企業(yè)能夠據(jù)此調(diào)整預(yù)算,在恰當?shù)臅r候把錢用在正確的地方。
業(yè)務(wù)高管很怕自己公司被掛上下一個數(shù)據(jù)泄露新聞頭條,所以他們比以往更愿意加強網(wǎng)絡(luò)安全投資,以確保這種事情不會發(fā)生。他們從安全團隊得到的回報是什么呢?算表和及時的指標,以便能夠?qū)崟r調(diào)整風(fēng)險管理策略。但遺憾的是,大多數(shù)CISO(和首席風(fēng)險官)并沒有能夠滿足這一需求的過程和指標。
CISO需帶著業(yè)務(wù)思維與高管團隊合作,以成本有效的方式在恰當?shù)臅r間保護正確的資產(chǎn)。
這一網(wǎng)絡(luò)風(fēng)險管理上的空白代表著需立即加以關(guān)注的重要問題。CISO必須采納新的工具和網(wǎng)絡(luò)風(fēng)險管理方法論,比如信息風(fēng)險因素分析(FAIR)。鑒于很多網(wǎng)絡(luò)安全經(jīng)理并不具備合適的技術(shù)或資源,他們或許會想借助 Unisys TrustCheck 之類網(wǎng)絡(luò)風(fēng)險管理服務(wù)的幫忙。
無論如何,CISO必須盡快轉(zhuǎn)換思路。只要不確定自己的投資是有效還是打水漂,業(yè)務(wù)高管就不會繼續(xù)往網(wǎng)絡(luò)安全上砸錢。CISO需帶著業(yè)務(wù)思維與高管團隊合作,以成本有效的方式在恰當?shù)臅r間保護正確的資產(chǎn)。
