CISO容易犯的5个风险管理错误

　　企业领导人现在把网络安全列为最高优先事项，认为它是必须加以管理的战略风险。

　　然而，对高管和董事会成员的调查显示，他们这项任务进行的并不好。

　　来自威达信和微软的《2019年全球网络风险感知调查》发现，79%的受访者将网络风险列为自己企业最关注的五大问题之一，22%的受访者表示这是他们最关心的问题。而只有11%的受访者对他们企业的网络应变能力非常有信心。

　　与此同时，全美企业董事协会进行的《2019-2020年上市公司治理调查》发现，66%的受访者表示，他们公司在上一年的董事会议程中至少解决过一次网络风险问题。然而，尽管受到董事会层面的关注，但61%的受访者表示，他们的企业将优先考虑业务运营和相应的举措，而不是网络安全。

　　安全部门领导表示，他们对这些发现并不感到意外，因为安全风险管理还不是很成熟，许多高管还很难高效地管理安全风险。鉴于此，他们说，他们看到很多企业在这方面犯了错误。以下是他们所看到的企业管理者常见的5个错误：

　　安全部门和业务部门未能达成一致

　　多位首席信息安全官和执行顾问表示，安全运营和业务战略之间缺乏一致性仍然是风险管理中最常见的错误。

　　埃森哲安全总经理兼北美区负责人Ryan LaSalle指出：“很多首席信息安全官并不看重业务部门真正关心的是什么。他们看重的是技术风险，而不是对业务的影响。他们仍然过于相信工具，在乎有多少漏洞，但这些并不是衡量业务网络风险的标准。首席信息安全官应该让业务部门知道，他们所关心的业务事项存在安全问题。”

　　LaSalle说，安全部门和业务部门没有统一的风险定义，也没有建立他们认为可接受的风险等级，这使得安全部门和业务部门之间隔阂越来越大，更加难以开展有效的风险管理工作——的确有这种可能。

　　他解释道，“在很多情况下，业务部门和安全部门对风险及其影响的看法是不同的”，他还指出，安全部门有时并没有告诉业务部门，固有风险与实施控制和缓解措施后的剩余风险之间有什么差别。

　　Ryan说，他建议首席信息安全官明确说明与具体业务目标相关的风险，他们将怎样降低风险，能在多大程度上降低风险，成本有多大，以便业务部门和安全部门对企业所承担的风险都有相同的理解。他补充道：“换句话说，首席信息安全官必须解释为什么这种风险对业务部门很重要。”

　　未能掌握全局

　　很多高管只是管理企業的部分风险，而不是全部风险，因为他们未能全面掌握自己企业的情况。

　　毕马威（KPMG）网络安全服务全球联席主管Tony Buffomante指出：“人们普遍存在一种误解，认为企业能够比较清楚地了解全局情况。”而他发现，很多首席信息安全官没有完整的IT资产清单，也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。他说：“结果是，很多企业在清单不全或者不准确的情况下执行风险评估程序。”

　　其他专家也认为，首席信息安全官往往未能全面了解企业环境。原因各不相同。有时，是因为被收购的公司并没有完全融入母公司。有时，是因为各部门会自行运营技术业务，相互之间形成了孤岛。不管是什么原因，这样的情况使得首席信息安全官无法全面评估整个企业面临的风险。

　　Insight安全咨询实践的高级经理Mike Sprunger认为，很多安全运营部门甚至对自身工作也了解有限，因为他们没有使用能够帮助他们量化风险以及风险随时间怎样变化的指标。他指出，中小企业通常不跟踪风险指标，因为他们缺乏实施此类举措的资金和专业知识，而大型企业有时也不这样做，因为如此复杂的工作让他们不堪重负。

　　专家们承认，要花费大量精力才能全面了解技术环境和安全运营。首席信息安全官必须依靠他们的执行技能来打破IT工作长期相对独立的状态，而且他们必须优先考虑监管需求，创建能够提供量化深度分析的指标项目。

　　Sprunger补充道：“安全从业人员应该想到采用硬性的指标来量化风险，以可测量、可重复和切实可行的方式来量化，毕竟，风险取决于将要发生和可能发生的事情。太多的首席信息安全官关注了所有可能发生的事情，但这并不会有所帮助。为了更好地管理风险，必须考虑企业中最有可能发生的事情。”

　　把框架要求放在第一位

　　企业网络安全功能的挑战性和复杂性催生了很多框架要求，然而，AttackIQ公司首席信息安全官兼客户成功副总裁Christopher Kennedy认为，过分关注使用监管和合规框架要求来管理风险恰恰是有风险的。

　　他说，一些安全领导们错误地过分强调满足框架要求，也可以说，就是去勾选各个复选框，并将遵守框架要求视为最终目标，而不是将资源集中在了解自己企业的独特需求上，也没有根据业务战略调整安全措施，以缩小安全项目中的差距。

　　Kennedy说：“管理复选框占用了大量的工作，使得首席信息安全官没有足够的资源去处理急需解决的问题。因此，如果我作为首席信息安全官，让我的大部分员工忙于这些框架要求，我就无法与业务部门建立密切的关系。这意味着我可能会被视为业务部门的阻碍因素，因为我关注的是这些框架需求，而不是业务需求。”

　　Kennedy并没有完全否定框架要求的价值，但是，他说，企业应该把框架要求纳入自己的策略中，所谓策略，是由企业及其所在行业面临的具体的和最可能的威胁以及他们既有的风险承受能力所决定的。

　　同等重视每一个威胁

　　几乎所有的企业面临的威胁、攻击途径和漏洞都在不断增加，首席信息安全官试图去解决所有这些问题。然而，首席信息安全官和专家们都表示，这种宽泛的做法是错误的。相反，他们应该有所侧重。

　　Coinbase公司的首席信息安全官Philip Martin说：“很多人一开始并没有强烈地意识到自己在哪些方面最容易受到攻击，是谁导致他们出现了漏洞；他们总是想一网打尽。”

　　Martin说，过于宽泛的做法会降低工作效果，推高开支，不能相应地提高他们的安全状况和风险管理能力。

　　为了更好地管理风险，他和其他安全领导人都认为，企业应该更有针对性。

　　Martin说：“我们需要考虑可能性和影响。受人瞩目的一些新型攻击出现的实在太频繁了。企业应该关注一下自己面临的风险，谁在窥探你，他们在利用什么，然后你可以建立一个有针对性的缓解计划，重点放在最有可能让企业陷入困境的攻击上。我们在团队、预算和员工等资源方面毕竟是有限的。我们必须关注那些最有可能让我们和我们的企业陷入困境的因素。”

　　例如，他介绍说，一家位于中西部的汽车零部件制造厂最需要保护的是其知识产权和基础设施，以防外国咨询机构把美国企业作为目标，而把旨在窃取现金的攻击（比如通常针对金融机构发起的攻击）的优先级适当降低一些。

　　没有考虑时间因素

　　尽管安全或者合规审计能够让高管们知道一个安全项目进行的怎么样，但专家警告说，这可能只是在审计时表现的不错；并不能保证成功地向前推进——特别是考虑到新的威胁会快速演变，而安全策略和风险评估必须怎样迅速改变才能应对这些威胁。

　　Buffomante说：“我们看到很多企业执行了审计流程，但他们没有利用实时威胁情报信息来帮助他们搞清楚当时哪些风险与他们的企业有关。他们应该对自己最关注的领域进行持续的评估。”

　　Buffomante说，企业通过实现自动化、机器学习和人工智能来更加实时地进行安全评估，从而更好地满足這些需求。然后，企业应创建流程，使他们能够更快地使用这些实时评估结果来调整和管理风险。

　　安全领导们说，企业还必须认识到，有时需要一定的时间才能找到合适的措施来应对新发现的风险。

　　LaSalle说：“目前，分析的速度超过了做出决定和采取行动的速度。”安全部门必须将其纳入规划和进度报告中。如果他们要求IT同事和业务部门处理新的威胁，把风险降到可接受的水平，那么安全部门应该实事求是地考虑完成这类工作需要多长时间。

　　LaSalle说：“如果不想因为安全部门在安全问题上过于夸大而耽误业务部门的正常工作。解决纳入到报告中的问题时，你就必须在时间上把握好节奏。应该采取立竿见影的逐步操作，而不是进行大的更改，或者确保你的指导能够满足业务部门的需要。”

　　Mary K. Pratt