译文 | CISO可能仍然会犯的5个风险管理错误

网络安全现在已经是一个董事会层面的问题，

但许多组织仍挣扎使安全风险管理正确这件事上。

如今，企业领导人将网络安全列为头等大事，视其为必须加以管理的战略风险。然而，对高管和董事会成员的调查显示，他们仍未能完成这一任务。

Marsh和微软的2019年全球网络风险感知调查发现，79%的受访者将网络风险列为他们组织最关心的五大问题，22%的人表示这是他们最关心的问题。然而，只有11%的人对他们组织的网络弹性有高度信心。

与此同时，在美国企业董事协会(National Association of Corporate Directors)的2019-2020年上市公司治理调查中，66%的受访者表示，他们的公司在前一年至少在董事会议程上解决过一次网络风险问题。不过，尽管有董事会层面的关注，61%的受访者表示，他们的组织会优先考虑业务运营和行动，而不是网络安全。

安全主管们表示，他们对这样的发现并不感到意外，因为安全风险管理仍处于成熟阶段，许多高管难以有效管理安全风险。鉴于此，他们认为许多组织在这方面犯了错误。以下是企业管理层常犯的5个错误。

根据多个CISO和执行顾问的说法，安全操作和业务战略之间缺乏一致性仍然是风险管理中最常见的错误之一。

“大多数CISO并不衡量企业真正关心的是什么。他们测量的是技术风险，而不是对业务的影响。他们仍然深陷工具和计算漏洞的泥潭，但这些并不能衡量商业网络风险。”埃森哲安全公司董事总经理兼北美主管Ryan LaSalle表示:“信息安全中心需要把风险附加到企业所关心的事情上。”

LaSalle说，安全和企业也未能统一他们对风险的定义，并确定他们认为可接受的风险水平——这进一步加剧了安全和企业之间的脱节，使有效的风险管理更加困难(如果不是不可能的话)。

“在许多情况下，业务和安全以不同的方式看待风险及其影响，”他解释说，并指出安全有时无法区分固有风险和控制和缓解措施到位后遗留下来的剩余风险之间的差异。

“在许多情况下，业务和安全以不同的方式看待风险及其影响，”他解释说，并指出安全有时无法区分固有风险和控制和缓解措施到位后遗留下来的剩余风险之间的差异。

LaSalle说，他建议CISOs阐明与特定业务目标相关的风险：将如何降低风险，可以在何种程度上降低风险，以何种成本降低风险等等，以便业务和安全部门对组织所承担的风险有相同的理解。他补充道:“换句话说，CISOs必须解释为什么这种风险对企业很重要。”

许多高管只负责管理部分而不是全部的风险，因为他们对企业没有完全了解。

毕马威(KPMG)网络安全服务全球联席主管Tony Buffomante表示:“人们普遍存在一种误解，认为一个组织对整个行业了如指掌。”然而，他发现许多CISOs没有完整的IT资产清单，也没有员工和业务部门使用的所有第三方供应商和云应用的完整清单。因此，许多公司对库存执行的风险评估程序不够稳健或不准确。

其他人也同意CISOs通常不能全面了解他们的企业环境，原因各不相同。有时，被收购的公司没有完全融入母公司；有时，各部门自己运营技术业务，并在这周围筑起围墙。不管原因是什么，这样的情况使CISOs无法充分评估整个组织所面临的风险。

Insight安全咨询业务高级经理Mike Sprunger表示，与此同时，许多安全运营部门对自己努力的能见度有限，因为他们没有使用能够帮助他们量化风险以及风险如何随时间变化的指标。他说，中小型组织通常不跟踪风险指标，因为他们缺乏资金和专业知识来实施这类实践，而大公司有时不这样做，因为他们被这种工作的复杂性压垮了。

顾问们承认，要全面了解技术环境和安全行动需要跑腿。CISOs必须依靠自己的执行技能来打破IT活动长期存在的屏障，并且他们必须对监督需求进行优先排序，以创建能够提供定量洞察的度量程序。

“安全从业人员应该用严格的术语来量化风险，以可测量、可重复和有意义的方式，因为风险就是可能发生和可能发生的事情。”看了所有可能的事情，但那不会让你得到任何东西。为了更好地管理风险，你必须观察你的组织中可能会发生什么。”Sprunger补充道。

企业网络安全功能的挑战和复杂性催生了许多框架。然而，AttackIQ的CISO和副总裁Christopher Kennedy认为，过分关注使用监管和合规框架来管理风险是有风险的。

他认为：一些CISO错误地过分强调会议的框架要求，检查框架，以符合框架作为最终目标，而不是集中资源了解他们自己的组织的独特需求，调整安全措施商业战略，缩小他们的安全程序和实际的差异。

Kennedy说:“管理复选框所需的工作量减少了CISOs能拨给一开始就存在的问题的资源。因此，如果一大部分CISO都在从事这些框架方面的工作，我就不能与我的企业建立一种深入而完整的关系。这意味着我可能会被视为业务的障碍，因为我关注的是这些框架需求，而不是业务需求。”

Kennedy并没有完全否定框架的价值，但他认为，组织需要将框架的需求与战略联系起来，而战略是由他们和他们的行业所面临的具体的、最有可能的威胁以及他们已经建立的风险承受能力所决定的。

考虑到任何组织都面临着越来越多的威胁、攻击载体和漏洞，CISOs可能会试图解决所有这些问题。然而，CISOs和咨询顾问们都表示，这种广泛的做法是错误的。相反，他们需要更加专注。

“很多人一开始都没有清楚地意识到自己的弱点在哪里，自己的弱点在谁面前；他们试图煮沸海洋。”Coinbase的CISO Philip Martin说。他表示，过于宽泛的做法会稀释努力，增加开支，而安全状况和风险管理能力却没有相应提高。

为了更好地管理风险，他和其他安全负责人说，组织应该有更多的目标。

“我们需要考虑可能性和影响。我们经常看到最新、最强烈的攻击。但是，当您了解您的风险、跟踪您的人以及他们使用的内容时，您就可以构建一个有针对性的缓解方案，并将重点放在最有可能给您带来麻烦的攻击上。我们都有有限的团队、有限的预算和有限的员工。我们必须关注什么最有可能让我们和我们的公司陷入麻烦，”Martin表示。

例如，一家位于美国中西部的汽车零部件制造工厂需要优先保护其知识产权和基础设施，以防范针对美国公司的窃密，但这可能会把旨在窃取现金的攻击(比如针对金融机构的常见攻击)推到更低的优先级别。

尽管安全或合规性审计可以向高管层提供安全程序执行情况的指示，但专家警告说，审计时它们能展示性能，却不能保证成功向前推进——尤其是考虑到新威胁的演变速度有多快，而安全政策和风险评估必须迅速改变以应对它们。

“我们看到很多组织执行审计程序，但他们没有利用实时的威胁情报信息来帮助他们弄清什么风险与他们的组织息息相关，”Buffomante说。“他们需要对他们的高优先领域进行更持续的评估。”

Buffomante表示，各组织正通过实施自动化、机器学习和人工智能来生成更多的实时安全评估，从而越来越多地满足这一需求。然后，组织需要建立流程，使他们能够更快地使用这些实时评估来调整和管理风险。

不过，安全负责人也认为，组织也必须认识到，有时解决新发现的风险需要时间。

“目前分析的速度超过了做决定和采取行动的速度，”LaSalle说。安全团队必须在他们的计划和进度报告中加入这一点。如果他们要求他们的IT同行和业务单位处理一个新的威胁，作为将风险降到可接受水平的一种方法，安全应该实际地考虑完成工作需要多长时间。

“你不会希望安全团队因为你威逼他们把事情做好，而阻碍公司做正确的事情。必须有一个更好的平衡来解决问题，并将其纳入到报告中，”LaSalle说：“你需要提供更直接的逐步行动，而不是一下子做大的改变，确保你的指导能适应企业的能力。”