業務經理想要得到實時網絡風險管理指標,但網絡安全團隊只能交付技術數據和階段性報告。這中間的空白需要得到填補。
幾年前,網絡安全人員常常哀嘆經理們根本不想要真正的安全,他們只想要“夠好”的安全。這種說法反映出很多CEO都將網絡安全等同于合規。他們似乎認為,只要CISO能夠搞定PCI、HIPAA或SOX合規,網絡安全問題就得到了解決。
那種只求“夠好”的安全態度受到了網絡安全人員的反感。想要好好保護企業資產的CISO們渴求業務高管能夠真正理解網絡風險,并愿意積極參與和大力支持網絡風險管理工作。
但俗話說得好,人心不足蛇吞象:2019年,業務高管們全都參與了進來,結果卻是給網絡安全團隊制造了大麻煩。
企業戰略集團(ESG)最近剛剛對340位網絡安全、IT和風險人員做了關于網絡風險管理方面的調查。受訪者需指出對業務高管和企業董事來說最重要的網絡風險指標。票選出來的四大業務面重點反映出業務需求與技術能力上的巨大鴻溝。
業務高管很怕自己公司被掛上下一個數據泄露新聞頭條,所以他們比以往更愿意加強網絡安全投資,以確保這種事情不會發生。他們從安全團隊得到的回報是什么呢?算表和及時的指標,以便能夠實時調整風險管理策略。但遺憾的是,大多數CISO(和首席風險官)并沒有能夠滿足這一需求的過程和指標。
CISO需帶著業務思維與高管團隊合作,以成本有效的方式在恰當的時間保護正確的資產。
這一網絡風險管理上的空白代表著需立即加以關注的重要問題。CISO必須采納新的工具和網絡風險管理方法論,比如信息風險因素分析(FAIR)。鑒于很多網絡安全經理并不具備合適的技術或資源,他們或許會想借助 Unisys TrustCheck 之類網絡風險管理服務的幫忙。
無論如何,CISO必須盡快轉換思路。只要不確定自己的投資是有效還是打水漂,業務高管就不會繼續往網絡安全上砸錢。CISO需帶著業務思維與高管團隊合作,以成本有效的方式在恰當的時間保護正確的資產。