CISO容易犯的5个风险管理错误.docxVIP

CISO容易犯的5个风险管理错误 Mary K. Pratt 企业领导人现在把网络安全列为最高优先事项，认为它是必须加以管理的战略风险。 然而，对高管和董事会成员的调查显示，他们这项任务进行的并不好。 来自威达信和微软的《20XX年全球网络风险感知调查》发现，79%的受访者将网络风险列为自己企业最关注的五大问题之一，22%的受访者表示这是他们最关心的问题。而只有11%的受访者对他们企业的网络应变能力非常有信心。 与此同时，全美企业董事协会进行的《20XX-2020年上市公司治理调查》发现，66%的受访者表示，他们公司在上一年的董事会议程中至少解决过一次网络风险问题。然而，尽管受到董事会层面的关注，但61%的受访者表示，他们的企业将优先考虑业务运营和相应的举措，而不是网络安全。 安全部门领导表示，他们对这些发现并不感到意外，因为安全风险管理还不是很成熟，许多高管还很难高效地管理安全风险。鉴于此，他们说，他们看到很多企业在这方面犯了错误。以下是他们所看到的企业管理者常见的5个错误： 安全部门和业务部门未能达成一致 多位首席信息安全官和执行顾问表示，安全运营和业务战略之间缺乏一致性仍然是风险管理中最常见的错误。 埃森哲安全总经理兼北美区负责人Ryan LaSalle指出：“很多首席信息安全官并不看重业务部门真正关心的是什么。他们看重的是技术风险，而不是对业务的影响。他们仍然过于相信工具，在乎有多少漏洞，但这些并不是衡量业务网络风险的标准。首席信息安全官应该让业务部门知道，他们所关心的业务事项存在安全问题。” LaSalle说，安全部门和业务部门没有统一的风险定义，也没有建立他们认为可接受的风险等级，这使得安全部门和业务部门之间隔阂越来越大，更加难以开展有效的风险管理工作——的确有这种可能。 他解释道，“在很多情况下，业务部门和安全部门对风险及其影响的看法是不同的”，他还指出，安全部门有时并没有告诉业务部门，固有风险与实施控制和缓解措施后的剩余风险之间有什么差别。 Ryan说，他建议首席信息安全官明确说明与具体业务目标相关的风险，他们将怎样降低风险，能在多大程度上降低风险，成本有多大，以便业务部门和安全部门对企业所承担的风险都有相同的理解。他补充道：“换句话说，首席信息安全官必须解释为什么这种风险对业务部门很重要。” 未能掌握全局 很多高管只是管理企業的部分风险，而不是全部风险，因为他们未能全面掌握自己企业的情况。 毕马威（KPMG）网络安全服务全球联席主管Tony Buffomante指出：“人们普遍存在一种误解，认为企业能够比较清楚地了解全局情况。”而他发现，很多首席信息安全官没有完整的IT资产清单，也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。他说：“结果是，很多企业在清单不全或者不准确的情况下执行风险评估程序。” 其他专家也认为，首席信息安全官往往未能全面了解企业环境。原因各不相同。有时，是因为被收购的公司并没有完全融入母公司。有时，是因为各部门会自行运营技术业务，相互之间形成了孤岛。不管是什么原因，这样的情况使得首席信息安全官无法全面评估整个企业面临的风险。 Insight安全咨询实践的高级经理Mike Sprunger认为，很多安全运营部门甚至对自身工作也了解有限，因为他们没有使用能够帮助他们量化风险以及风险随时间怎样变化的指标。他指出，中小企业通常不跟踪风险指标，因为他们缺乏实施此类举措的资金和专业知识，而大型企业有时也不这样做，因为如此复杂的工作让他们不堪重负。 专家们承认，要花费大量精力才能全面了解技术环境和安全运营。首席信息安全官必须依靠他们的执行技能来打破IT工作长期相对独立的状态，而且他们必须优先考虑监管需求，创建能够提供量化深度分析的指标项目。 Sprunger补充道：“安全从业人员应该想到采用硬性的指标来量化风险，以可测量、可重复和切实可行的方式来量化，毕竟，风险取决于将要发生和可能发生的事情。太多的首席信息安全官关注了所有可能发生的事情，但这并不会有所帮助。为了更好地管理风险，必须考虑企业中最有可能发生的事情。” 把框架要求放在第一位 企业网络安全功能的挑战性和复杂性催生了很多框架要求，然而，AttackIQ公司首席信息安全官兼客户成功副总裁Christopher Kennedy认为，过分关注使用监管和合规框架要求来管理风险恰恰是有风险的。 他说，一些安全领导们错误地过分强调满足框架要求，也可以说，就是去勾选各个复选框，并将遵守框架要求视为最终目标，而不是将资源集中在了解自己企业的独特需求上，也没有根据业务战略调整安全措施，以缩小安全