網絡風險管理之團隊協做

業務經理想要獲得實時網絡風險管理指標，但網絡安全團隊只能交付技術數據和階段性報告。這中間的空白鬚要獲得填補。

幾年前，網絡安全人員經常哀嘆經理們根本不想要真正的安全，他們只想要「夠好」的安全。這種說法反映出不少CEO都將網絡安全等同於合規。他們彷佛認爲，只要CISO可以搞定PCI、HIPAA或SOX合規，網絡安全問題就獲得瞭解決。

那種只求「夠好」的安全態度受到了網絡安全人員的反感。想要好好保護企業資產的CISO們渴求業務高管可以真正理解網絡風險，並願意積極參與和大力支持網絡風險管理工做。

但俗話說得好，人心不足蛇吞象：2019年，業務高管們全都參與了進來，結果倒是給網絡安全團隊製造了大麻煩。

企業戰略集團(ESG)最近剛剛對340位網絡安全、IT和風險人員作了關於網絡風險管理方面的調查。受訪者需指出對業務高管和企業董事來講最重要的網絡風險指標。票選出來的四大業務面重點反映出業務需求與技術能力上的巨大鴻溝。

39%的受訪者想要與主要業務和IT項目有關的安全狀態報告。換句話說，他們想要了解與端到端業務過程相關的網絡風險，而不是具體的 Windows PC、DNS服務器或軟件漏洞。網絡安全團隊需更好地將極客數據翻譯成業務指標。

36%的受訪者想要知道與IT審計相關的狀態及響應。這不是什麼新要求。但業務人員想要的不單單是斷斷續續的報告，他們想要的是可以指導及時風險緩解決策的常態化更新。爲知足這一需求，CISO必須努力實現持續風險管理分析。

36%的受訪者想要針對與其餘數據相關的環境漏洞的報告。沒錯，業務人員關注有漏洞的資產，但他們真的不想看到盡是軟件漏洞細節的報告。他們更想了解任務關鍵資產是否容易遭到已知漏洞利用的攻擊，以便可以重點安排諸如系統修復、流量分隔、訪問限制等緩解措施。換句話說，網絡安全團隊的漏洞報告應重質量而不是數量。

35%的受訪者想要更具體的安全開支投資回報。ESG的其餘研究顯示，58%的公司企業計劃在2019年增長網絡安全開支。很明顯，高管們願意支持網絡安全項目，但他們同時也想更加了解本身花出去的錢都有些什麼回報。安全開支投資回報的計算並不容易，但CISO必須設法將網絡安全開支以業務、人力資源和技術術語表述清楚，讓公司企業可以據此調整預算，在恰當的時候把錢用在正確的地方。

業務高管很怕本身公司被掛上下一個數據泄露新聞頭條，因此他們比以往更願意增強網絡安全投資，以確保這種事情不會發生。他們從安全團隊獲得的回報是什麼呢？算表和及時的指標，以便可以實時調整風險管理策略。但遺憾的是，大多數CISO(和首席風險官)並無可以知足這一需求的過程和指標。

CISO需帶着業務思惟與高管團隊合做，以成本有效的方式在恰當的時間保護正確的資產。
這一網絡風險管理上的空白表明着需當即加以關注的重要問題。CISO必須採納新的工具和網絡風險管理方法論，好比信息風險因素分析(FAIR)。鑑於不少網絡安全經理並不具有合適的技術或資源，他們或許會想借助 Unisys TrustCheck 之類網絡風險管理服務的幫忙。

不管如何，CISO必須儘快轉換思路。只要不肯定本身的投資是有效仍是打水漂，業務高管就不會繼續往網絡安全上砸錢。CISO需帶着業務思惟與高管團隊合做，以成本有效的方式在恰當的時間保護正確的資產。

原文來自：https://www.secrss.com/articles/8712

本文地址：https://www.linuxprobe.com/network-risk-management.html編輯：馮瑞濤，審覈員：逄增寶