CISO常犯的五个风险管理错误

铃风辰星

CISO常犯的五个风险管理错误

新冠疫情导致全球经济衰退，企业裁员、预算紧缩接踵而至，但网络攻击和数字风险也创下历史新高。新冠疫情期间，勒索软件、重大数据泄露和隐私事件频发，微盟删库、万豪二次泄露、Zoom安全风波、小米隐私、越南APT组织入华…

过去不到一周时间，我们就被下面这些事件刷屏：B站500万粉丝UP主NAS数据被勒索软件锁死、成人网站CAM泄露108亿条数据（7TB）、特斯拉二手车数据泄露、苹果iPhone曝出严重漏洞、全球最大域名注册商Godaddy数据泄露、欧洲多家医疗机构和台湾两大炼油厂被勒索软件袭击、中信银行“笑果门”…甚至疫情期间的“受益股”，例如主流游戏平台Valve（游戏源代码泄露）、Switch（16万用户数据泄露）也纷纷中招。

随着疫情期间安全形势的不断升级，全球越来越多的企业领导者都将网络安全视为头等大事，将其视为亟待加强管理的战略风险。

然而，研究机构对高管和董事会成员的调查表明，企业的网络安全风险管理水平依然不尽如人意。

根据Marsh和微软的《2019年全球网络风险感知调查》发现，有79％的受访者将网络风险视为企业TOP5优先关注对象之一，22％的受访者表示网络风险这是他们最关注的问题。但是，只有11％的人对其组织的安全能力表示高度信任。

与此同时，美国公司董事协会在2019-2020年上市公司治理调查中，有66％的受访者表示，他们的公司在上一年的董事会议程中至少解决了一次网络风险问题。尽管有董事会的关注，但是仍有61％的受访者表示，他们的组织将把业务运营和计划的优先级放在网络安全之上。

安全主管表示，他们对这些调查结果并不感到惊讶，因为安全风险管理仍未成熟，稍有风吹草动，许多高管就纷纷暴露出安全风险管理的短板。以下，是企业管理层和CISO常犯的五个风险管理错误：

安全与业务缺乏一致性

多位CISO和高管顾问表示，安全运营与业务策略之间缺乏一致性仍然是风险管理中最常见的错误之一。

埃森哲安全部门董事总经理兼北美负责人Ryan LaSalle说：

大多数CISO都不衡量企业实际关心的是什么。他们正在衡量技术风险，而不是对业务的影响。他们仍然沉溺于工具和“数漏洞”，但这并不是衡量企业网络风险的方法。首席信息安全官需要对业务所关心的事情承担风险。

LaSalle表示，安全和业务部门也未能统一其风险定义并建立他们认为可接受的风险水平，这进一步加剧了安全性和业务部门之间的脱节，并使有效的风险管理变得更加困难。

他解释，在许多情况下，业务和安全对风险及其影响的看法有所不同，安全有时无法为业务区分固有风险与实施控制和缓解措施后留下的剩余风险之间的区别。

Ryan建议CISO阐明与特定业务目标相关的风险、如何降低风险、可以降低风险的程度以及以何种成本降低风险，以便业务和安全部门对风险有相同的了解，该组织正在采取行动。他补充说：

换句话说，首席信息安全官必须解释为什么这种风险对业务很重要。

安全能见度低

许多高管正在以“瞎子摸象”的方式管理部分（而非全部）组织的风险，因为他们对企业安全风险没有完全的了解。

毕马威（KPMG）网络安全服务全球联合负责人托尼·布丰曼特（Tony Buffomante）表示：“人们普遍认为企业对情况有完整的了解，这显然是一个误会。”事实上，很多CISO并没有完整的IT资产清单，也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。他说：“结果，许多公司仅对不健全或不准确的库存执行风险评估程序。”

不少业内人士支持该观点：CISO常常对他们的企业环境没有完整的了解。其背后的原因各不相同。有时，被收购的公司没有完全融入母公司。有时，各部门运行自己的技术业务并在这些孤岛周围筑起隔离墙。无论出于何种原因，这种情况都会使CISO无法全面评估整个组织面临的风险。

与此同时，许多安全运营团队对自己的工作的了解有限，Insight的安全咨询业务高级经理Mike Sprunger认为，这是因为安全团队没有使用可帮助他们量化和跟踪风险变化的指标。他说，中小型组织通常不跟踪风险指标，因为它们缺乏此类实践的资金和专业知识，而大型公司有时也不跟踪，因为它们对此类工作的复杂性感到不知所措。

不少安全顾问承认，全面了解技术环境和安全运营需要花费大量精力。CISO必须依靠他们的执行技能来打破长期存在的IT孤岛，而且他们必须优先考虑监督要求，以创建可以提供定量观测分析的指标计划。

Sprunger补充道：

安全从业人员应该希望以可测量、可重复和有意义的方式量化风险。太多的CISO会关注所有可能的事情，但那无济于事。您必须侧重查看组织中最可能发生的状况，才能更好地管理风险。

框架优先

复杂性是企业网络安全面临的的最大挑战，因此也产生了很多框架来帮助企业尽快提高网络安全成熟度并从网络安全投资中获得最大受益。但是，企业安全主管们不要迷信“框架即正义“。AttackIQ客户成功副总裁克里斯托弗·肯尼迪（Christopher Kennedy）认为，过于关注使用监管和合规性框架来管理风险是有风险的。

他说，一些安全领导者错误地过分强调了满足框架要求，并将遵守框架视为最终目标，而不是将资源集中在理解自己组织的独特需求上，使安全计划与业务战略保持一致。并缩小安全计划中的差距。

肯尼迪说：

满足框架要求所需要的工作量使资源偏离了CISO最初的问题。因此，作为首席信息安全官，如果我的大部分员工都绑在这些框架上工作，那安全就不会与业务建立密不可分的关系。这意味着安全会被视为业务的阻碍者，因为我专注于这些框架要求而不是业务需求。

肯尼迪并没有完全否认框架的价值。然而他说，组织需要将框架的要求与企业战略、行业风险特性、风险承受力联系。

缺乏针对性

如今所有企业和组织都面临不断增长的威胁、攻击矢量和漏洞。CISO可能会试图解决所有这些威胁。但是，很多CISO和安全顾问认为，这种眉毛胡子一把抓的方法是错误的。相反，他们需要更加专注。

Coinbase的CISO Philip Martin说：

许多人并非一开始就清楚自己容易受到攻击的薄弱环节和人员，因此往往会无的放矢。

Martin表示，缺乏重点的方法会稀释本就稀缺的人力资源并增加费用，而安全状况和风险管理能力却不会相应提高。

为了最好地管理风险，他和其他安全负责人表示，组织应该更具针对性。

Martin说：

我们需要考虑（风险的）可能性和影响。我们经常查看最新，最“抓眼球“的攻击。但是，您需要建立有针对性的缓解计划，并专注于最有可能使您陷入困境的攻击。我们的预算和人员有限，必须关注最有可能使公司陷入困境的问题。

例如，一家汽车零制造工厂需要优先考虑保护其知识产权和基础设施，而不是银行木马。

没有考虑时间因素

尽管安全或合规审核可以让管理层了解安全运营状况，但专家警告说，审核或审计结果仅反映审核时的安全表现，不能保证未来的有效性。尤其是考虑到新威胁的发展速度，以及安全策略和风险评估同样需要迅速变化以应对这些威胁。

Buffomante指出：

我们看到许多组织都执行审计流程，但他们没有利用实时威胁情报来帮助他们澄清与组织相关的当前风险。他们需要对其高优先级区域进行更连续的评估。

企业开始通过实施自动化，机器学习和人工智能来生成更多实时安全评估，来逐渐满足这一需求。然后，企业需要创建流程，更快地通过实时评估来调整和管理风险。

但是，安全领导者们强调，企业还必须认识到，解决新发现的风险的举措往往需要更多时间。

LaSalle说：“分析的速度目前超过了决策和采取行动的速度。”安全团队必须将其纳入计划和进度报告中。如果安全部门要求IT部门和业务部门协同应对新威胁，将风险降低到可接受的水平，那么安全部门就要做好准备，接受各种不可控的延迟。

您不希望安全团队的敦促使业务部门产生抵触情绪，安全部门的指南、缓解或者强化措施需要针对业务部门提供循序渐进的计划，确保其中的要求在业务部门力所能及的范围内。