CISO容易犯的5個風險管理錯誤

Mary K. Pratt

企業領導人現在把網絡安全列為最高優先事項，認為它是必須加以管理的戰略風險。

然而，對高管和董事會成員的調查顯示，他們這項任務進行的并不好。

來自威達信和微軟的《2019年全球網絡風險感知調查》發現，79%的受訪者將網絡風險列為自己企業最關注的五大問題之一，22%的受訪者表示這是他們最關心的問題。而只有11%的受訪者對他們企業的網絡應變能力非常有信心。

與此同時，全美企業董事協會進行的《2019-2020年上市公司治理調查》發現，66%的受訪者表示，他們公司在上一年的董事會議程中至少解決過一次網絡風險問題。然而，盡管受到董事會層面的關注，但61%的受訪者表示，他們的企業將優先考慮業務運營和相應的舉措，而不是網絡安全。

安全部門領導表示，他們對這些發現并不感到意外，因為安全風險管理還不是很成熟，許多高管還很難高效地管理安全風險。鑒于此，他們說，他們看到很多企業在這方面犯了錯誤。以下是他們所看到的企業管理者常見的5個錯誤：

安全部門和業務部門未能達成一致

多位首席信息安全官和執行顧問表示，安全運營和業務戰略之間缺乏一致性仍然是風險管理中最常見的錯誤。

埃森哲安全總經理兼北美區負責人Ryan LaSalle指出：“很多首席信息安全官并不看重業務部門真正關心的是什么。他們看重的是技術風險，而不是對業務的影響。他們仍然過于相信工具，在乎有多少漏洞，但這些并不是衡量業務網絡風險的標準。首席信息安全官應該讓業務部門知道，他們所關心的業務事項存在安全問題。”

LaSalle說，安全部門和業務部門沒有統一的風險定義，也沒有建立他們認為可接受的風險等級，這使得安全部門和業務部門之間隔閡越來越大，更加難以開展有效的風險管理工作——的確有這種可能。

他解釋道，“在很多情況下，業務部門和安全部門對風險及其影響的看法是不同的”，他還指出，安全部門有時并沒有告訴業務部門，固有風險與實施控制和緩解措施后的剩余風險之間有什么差別。

Ryan說，他建議首席信息安全官明確說明與具體業務目標相關的風險，他們將怎樣降低風險，能在多大程度上降低風險，成本有多大，以便業務部門和安全部門對企業所承擔的風險都有相同的理解。他補充道：“換句話說，首席信息安全官必須解釋為什么這種風險對業務部門很重要。”

未能掌握全局

很多高管只是管理企業的部分風險，而不是全部風險，因為他們未能全面掌握自己企業的情況。

畢馬威（KPMG）網絡安全服務全球聯席主管Tony Buffomante指出：“人們普遍存在一種誤解，認為企業能夠比較清楚地了解全局情況。”而他發現，很多首席信息安全官沒有完整的IT資產清單，也沒有員工和業務部門使用的所有第三方供應商和云應用程序的完整列表。他說：“結果是，很多企業在清單不全或者不準確的情況下執行風險評估程序。”

其他專家也認為，首席信息安全官往往未能全面了解企業環境。原因各不相同。有時，是因為被收購的公司并沒有完全融入母公司。有時，是因為各部門會自行運營技術業務，相互之間形成了孤島。不管是什么原因，這樣的情況使得首席信息安全官無法全面評估整個企業面臨的風險。

Insight安全咨詢實踐的高級經理Mike Sprunger認為，很多安全運營部門甚至對自身工作也了解有限，因為他們沒有使用能夠幫助他們量化風險以及風險隨時間怎樣變化的指標。他指出，中小企業通常不跟蹤風險指標，因為他們缺乏實施此類舉措的資金和專業知識，而大型企業有時也不這樣做，因為如此復雜的工作讓他們不堪重負。

專家們承認，要花費大量精力才能全面了解技術環境和安全運營。首席信息安全官必須依靠他們的執行技能來打破IT工作長期相對獨立的狀態，而且他們必須優先考慮監管需求，創建能夠提供量化深度分析的指標項目。

Sprunger補充道：“安全從業人員應該想到采用硬性的指標來量化風險，以可測量、可重復和切實可行的方式來量化，畢竟，風險取決于將要發生和可能發生的事情。太多的首席信息安全官關注了所有可能發生的事情，但這并不會有所幫助。為了更好地管理風險，必須考慮企業中最有可能發生的事情。”

把框架要求放在第一位

企業網絡安全功能的挑戰性和復雜性催生了很多框架要求，然而，AttackIQ公司首席信息安全官兼客戶成功副總裁Christopher Kennedy認為，過分關注使用監管和合規框架要求來管理風險恰恰是有風險的。

他說，一些安全領導們錯誤地過分強調滿足框架要求，也可以說，就是去勾選各個復選框，并將遵守框架要求視為最終目標，而不是將資源集中在了解自己企業的獨特需求上，也沒有根據業務戰略調整安全措施，以縮小安全項目中的差距。

Kennedy說：“管理復選框占用了大量的工作，使得首席信息安全官沒有足夠的資源去處理急需解決的問題。因此，如果我作為首席信息安全官，讓我的大部分員工忙于這些框架要求，我就無法與業務部門建立密切的關系。這意味著我可能會被視為業務部門的阻礙因素，因為我關注的是這些框架需求，而不是業務需求。”

Kennedy并沒有完全否定框架要求的價值，但是，他說，企業應該把框架要求納入自己的策略中，所謂策略，是由企業及其所在行業面臨的具體的和最可能的威脅以及他們既有的風險承受能力所決定的。

同等重視每一個威脅

幾乎所有的企業面臨的威脅、攻擊途徑和漏洞都在不斷增加，首席信息安全官試圖去解決所有這些問題。然而，首席信息安全官和專家們都表示，這種寬泛的做法是錯誤的。相反，他們應該有所側重。

Coinbase公司的首席信息安全官Philip Martin說：“很多人一開始并沒有強烈地意識到自己在哪些方面最容易受到攻擊，是誰導致他們出現了漏洞;他們總是想一網打盡。”

Martin說，過于寬泛的做法會降低工作效果，推高開支，不能相應地提高他們的安全狀況和風險管理能力。

為了更好地管理風險，他和其他安全領導人都認為，企業應該更有針對性。

Martin說：“我們需要考慮可能性和影響。受人矚目的一些新型攻擊出現的實在太頻繁了。企業應該關注一下自己面臨的風險，誰在窺探你，他們在利用什么，然后你可以建立一個有針對性的緩解計劃，重點放在最有可能讓企業陷入困境的攻擊上。我們在團隊、預算和員工等資源方面畢竟是有限的。我們必須關注那些最有可能讓我們和我們的企業陷入困境的因素。”

例如，他介紹說，一家位于中西部的汽車零部件制造廠最需要保護的是其知識產權和基礎設施，以防外國咨詢機構把美國企業作為目標，而把旨在竊取現金的攻擊（比如通常針對金融機構發起的攻擊）的優先級適當降低一些。

沒有考慮時間因素

盡管安全或者合規審計能夠讓高管們知道一個安全項目進行的怎么樣，但專家警告說，這可能只是在審計時表現的不錯;并不能保證成功地向前推進——特別是考慮到新的威脅會快速演變，而安全策略和風險評估必須怎樣迅速改變才能應對這些威脅。

Buffomante說：“我們看到很多企業執行了審計流程，但他們沒有利用實時威脅情報信息來幫助他們搞清楚當時哪些風險與他們的企業有關。他們應該對自己最關注的領域進行持續的評估。”

Buffomante說，企業通過實現自動化、機器學習和人工智能來更加實時地進行安全評估，從而更好地滿足這些需求。然后，企業應創建流程，使他們能夠更快地使用這些實時評估結果來調整和管理風險。

安全領導們說，企業還必須認識到，有時需要一定的時間才能找到合適的措施來應對新發現的風險。

LaSalle說：“目前，分析的速度超過了做出決定和采取行動的速度。”安全部門必須將其納入規劃和進度報告中。如果他們要求IT同事和業務部門處理新的威脅，把風險降到可接受的水平，那么安全部門應該實事求是地考慮完成這類工作需要多長時間。

LaSalle說：“如果不想因為安全部門在安全問題上過于夸大而耽誤業務部門的正常工作。解決納入到報告中的問題時，你就必須在時間上把握好節奏。應該采取立竿見影的逐步操作，而不是進行大的更改，或者確保你的指導能夠滿足業務部門的需要。”

原文網址

https：//www.csoonline.com/article/3538288/5-risk-management-mistakes-cisos-still-make.html