網(wǎng)絡(luò)風(fēng)險管理:業(yè)務(wù)團(tuán)隊與安全團(tuán)隊之間的空白
責(zé)編:gltian |2019-03-01 14:40:08業(yè)務(wù)經(jīng)理想要得到實時網(wǎng)絡(luò)風(fēng)險管理指標(biāo),但網(wǎng)絡(luò)安全團(tuán)隊只能交付技術(shù)數(shù)據(jù)和階段性報告。這中間的空白需要得到填補(bǔ)。
幾年前,網(wǎng)絡(luò)安全人員常常哀嘆經(jīng)理們根本不想要真正的安全,他們只想要“夠好”的安全。這種說法反映出很多CEO都將網(wǎng)絡(luò)安全等同于合規(guī)。他們似乎認(rèn)為,只要CISO能夠搞定PCI、HIPAA或SOX合規(guī),網(wǎng)絡(luò)安全問題就得到了解決。
那種只求“夠好”的安全態(tài)度受到了網(wǎng)絡(luò)安全人員的反感。想要好好保護(hù)企業(yè)資產(chǎn)的CISO們渴求業(yè)務(wù)高管能夠真正理解網(wǎng)絡(luò)風(fēng)險,并愿意積極參與和大力支持網(wǎng)絡(luò)風(fēng)險管理工作。
但俗話說得好,人心不足蛇吞象:2019年,業(yè)務(wù)高管們?nèi)紖⑴c了進(jìn)來,結(jié)果卻是給網(wǎng)絡(luò)安全團(tuán)隊制造了大麻煩。
企業(yè)戰(zhàn)略集團(tuán)(ESG)最近剛剛對340位網(wǎng)絡(luò)安全、IT和風(fēng)險人員做了關(guān)于網(wǎng)絡(luò)風(fēng)險管理方面的調(diào)查。受訪者需指出對業(yè)務(wù)高管和企業(yè)董事來說最重要的網(wǎng)絡(luò)風(fēng)險指標(biāo)。票選出來的四大業(yè)務(wù)面重點反映出業(yè)務(wù)需求與技術(shù)能力上的巨大鴻溝。
- 39%的受訪者想要與主要業(yè)務(wù)和IT項目有關(guān)的安全狀態(tài)報告。換句話說,他們想要了解與端到端業(yè)務(wù)過程相關(guān)的網(wǎng)絡(luò)風(fēng)險,而不是具體的 Windows PC、DNS服務(wù)器或軟件漏洞。網(wǎng)絡(luò)安全團(tuán)隊需更好地將極客數(shù)據(jù)翻譯成業(yè)務(wù)指標(biāo)。
- 36%的受訪者想要知道與IT審計相關(guān)的狀態(tài)及響應(yīng)。這不是什么新要求。但業(yè)務(wù)人員想要的不僅僅是斷斷續(xù)續(xù)的報告,他們想要的是能夠指導(dǎo)及時風(fēng)險緩解決策的常態(tài)化更新。為滿足這一需求,CISO必須努力實現(xiàn)持續(xù)風(fēng)險管理分析。
- 36%的受訪者想要針對與其他數(shù)據(jù)相關(guān)的環(huán)境漏洞的報告。沒錯,業(yè)務(wù)人員關(guān)注有漏洞的資產(chǎn),但他們真的不想看到滿是軟件漏洞細(xì)節(jié)的報告。他們更想了解任務(wù)關(guān)鍵資產(chǎn)是否容易遭到已知漏洞利用的攻擊,以便能夠重點安排諸如系統(tǒng)修復(fù)、流量分隔、訪問限制等緩解措施。換句話說,網(wǎng)絡(luò)安全團(tuán)隊的漏洞報告應(yīng)重質(zhì)量而不是數(shù)量。
- 35%的受訪者想要更具體的安全開支投資回報。ESG的其他研究顯示,58%的公司企業(yè)計劃在2019年增加網(wǎng)絡(luò)安全開支。很明顯,高管們愿意支持網(wǎng)絡(luò)安全項目,但他們同時也想更加了解自己花出去的錢都有些什么回報。安全開支投資回報的計算并不容易,但CISO必須設(shè)法將網(wǎng)絡(luò)安全開支以業(yè)務(wù)、人力資源和技術(shù)術(shù)語表述清楚,讓公司企業(yè)能夠據(jù)此調(diào)整預(yù)算,在恰當(dāng)?shù)臅r候把錢用在正確的地方。
業(yè)務(wù)高管很怕自己公司被掛上下一個數(shù)據(jù)泄露新聞頭條,所以他們比以往更愿意加強(qiáng)網(wǎng)絡(luò)安全投資,以確保這種事情不會發(fā)生。他們從安全團(tuán)隊得到的回報是什么呢?算表和及時的指標(biāo),以便能夠?qū)崟r調(diào)整風(fēng)險管理策略。但遺憾的是,大多數(shù)CISO(和首席風(fēng)險官)并沒有能夠滿足這一需求的過程和指標(biāo)。
CISO需帶著業(yè)務(wù)思維與高管團(tuán)隊合作,以成本有效的方式在恰當(dāng)?shù)臅r間保護(hù)正確的資產(chǎn)。
這一網(wǎng)絡(luò)風(fēng)險管理上的空白代表著需立即加以關(guān)注的重要問題。CISO必須采納新的工具和網(wǎng)絡(luò)風(fēng)險管理方法論,比如信息風(fēng)險因素分析(FAIR)。鑒于很多網(wǎng)絡(luò)安全經(jīng)理并不具備合適的技術(shù)或資源,他們或許會想借助 Unisys TrustCheck 之類網(wǎng)絡(luò)風(fēng)險管理服務(wù)的幫忙。
無論如何,CISO必須盡快轉(zhuǎn)換思路。只要不確定自己的投資是有效還是打水漂,業(yè)務(wù)高管就不會繼續(xù)往網(wǎng)絡(luò)安全上砸錢。CISO需帶著業(yè)務(wù)思維與高管團(tuán)隊合作,以成本有效的方式在恰當(dāng)?shù)臅r間保護(hù)正確的資產(chǎn)。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧