CISO应该如何正确评估信息安全风险？

阻碍我们正确评估风险的因素

在预估潜在风险时，人们往往会依靠直觉。过于乐观或过于自信会导致人们对认知的偏差，或者有一种错误的控制感，这还可能会扭曲人们的观点。圣克拉拉大学利维商学院马里奥·贝洛蒂金融主席赫什·舍夫林（Hersh Shefrin）表示：“在 ‘评估风险’ 方面，人们无处不在，但他们倾向于对大多数事情持有乐观态度，包括网络安全。”

拉尔夫还注意到，与其他人相比较的时候，人们通常会保持不切实际的乐观。大多数人会认为自己与他人相比患癌症的概率更小、有聪明的孩子的概率更大，成为网络攻击受害者的可能性更小。他表示，这种趋势在全球各地都有记在，但是在发达社会似乎更加突出。

在911事件之后，许多美国人都不愿意坐飞机选择开车前往目的地，这导致了交通事故的频繁发生。据统计，在911事件后的一年里，大约有1600名美国人因为规避坐飞机的风险而出车祸丧命，这比911事件里丧生的乘客人数高出五倍多（注：911乘客死亡人数是249人）。这种偏见会在商业环境中产生更严重的后果，许多C开头的高管发现自己需要承担责任时，他们往往会淡化风险。

另一方面，有一点“飞行焦虑症”的拉尔夫补充到，人们对风险的看法可能会受到未来危险事件距今有多远的影响。当他在航班起飞前几周订票时，他并没有感到焦虑。“然而，一旦飞机在跑道上加速，我就会有一点手心出汗的感觉。”

他认为这个例子说明了一个更广泛的观点：“只有直接的情况（感知到的危险）才会引发这种感觉——从远处想象它并不能消除它，”他补充道。“如果事情太遥远、太遥远，那么我们就不会‘感觉到’风险——无论专家多么想警告我们这个或那个。”很多甲方专家费尽心机找到相似案例对业务部门或CEO阐述安全风险，但是却依然得不到回应或重视。这是因为人们往往更倾向与已经知道并想听到的信息，而忽略其他信息。面对这种无法完全避免的认知偏差，我们可以通过批判性思维来控制。

“对失败的恐惧会促使人们成为激进的冒险者。舍夫林表示：“这是雅虎和Equifax等公司存在漏洞的关键原因。”因此，如何准确地评估风险是一项非常艰巨的任务。某些时候，部分企业或组织会连续受到多次攻击，但是他们却不会尝试全力以赴的纠正错误。这是因为这些遭受小的安全事件的企业很难“生动地想象最坏的情况”。

如何更好地理解风险

尽管有这样或那样的因素阻碍我们对风险的评估和判断，但是依然有很多机会和方式。首先可以将网络安全类比物理安全。正如马特·布雷兹（Matt Blaze）在 2004 年发表的一篇标志性论文中所建议的那样，只要有足够的时间，几乎所有系统都可以被破坏。“也许是由于其悠久的历史和相对稳定的技术基础，物理安全界，尤其是安全和保险库界，通常寻求在定义对手的预期能力和成功攻击所需的资源时达到惊人的精度。”布雷兹写到：“比起计算机或网络，这里的安全被认为是一种权衡，而且是一种可量化的权衡。妥协的实质是时间。”

退休的美国海军陆战队军官汤姆·萨梅尔（Tom Sammel）说，在网络安全领域，谈论风险应该更加普遍，他曾担任首席信息安全官，现在是Secureworks的事件响应指挥官。在过去的几十年里，他注意到公司倾向于推迟那些复杂的项目。“我们生活在一个大多数高管都不会尝试进入的痛苦世界中，”他说：“他们很难将数据盗窃或勒索软件等事件与可能影响商业声誉或运营的事件等同起来。因为这种计算很难，他们倾向于简单地避免它。”

Fortium Partners的合伙人兼部分首席信息官迈克尔·本茨（Michael Benz）认为，一些基于 NIST 框架的工具可以帮助组织以最少的努力识别和降低网络安全风险，这对于缺乏大型企业资源的中小型组织尤其重要。虽然这些工具并不完美，但它们可以为那些在防范网络威胁方面做得不够的组织带来改变。“我发现大多数C开头的主管依靠希望、祈祷和运气来推动他们的网络安全风险管理战略，”本茨说。

新的规则应该是拥抱风险，但并不是说每个人都应该参与极限运动让自己的人寿保险变得无效，而是说我们都应该理解已经发生而且每天都在以更快速度发生的巨大改变。资本主义是建立在过去30年已经不再成立的假设的基础之上的。一个精神错乱的人能够设计出精巧的武器并在网上发布，通过 3D 打印机进行装配，然后将其带到飞机上，这不仅仅让人感到害怕，还要求我们重新彻底思考应该如何看待“风险”这一概念。

抓住这个有时令人困惑、令人害怕的新世界所提供的机会，需要决策者快速行动，摆脱传统的命令–控制型管理模式。一家公司曾就是否向伊藤穰一的一个项目投资 60 万美元进行可行性研究。即使这项可行性研究需要耗资 300 万美元，也没有让这家公司眨一下眼睛。这家公司僵化的程序以及未能拥抱风险的做法，导致其用价值 300 万美元的“理论”换回了价值 60 万美元的“事实”。事实是，即使投资该项目不能成功，这家公司也只不过损失其可行性研究费用的 1/5 而已。

就像重实践而轻理论一样，“风险优于安全”的原则或许听起来不太负责任，但这是发掘低成本创新潜力的必要因素。一直以来，这都是软件和互联网产业不可分割的一部分，并推动形成了风险投资的现状。它也越来越成为制造、投资、艺术和研究领域重要的创新工具。

实施“风险优于安全”的战略，并不意味着要让你看不到风险所在，而是要让你明白，随着创新成本的下降，风险的性质也在改变。正如下一章中所讲的那样，互联网解放了软件公司，在某种情况下强迫它们放弃前辈们官僚化的审批程序，转而对创新采取一种灵活、无须审批的态度。当然，这些公司中有许多都失败了，但那些成功的公司的确在竞争对手向市场推出产品之前便这么做了。

对CSO而言

正如反复的新冠疫情所表现的，长期处于这种管制或封控环境后，人们不会再对数字的变化而产生反应。拉尔夫认为，60%的风险与80%的风险没有任何区别，在评估风险时，应该分为可能发生和可能不会发生。

萨梅尔表示，CSO必须花时间与他们的团队一起工作，处理不同的场景。然后，他们必须共同讨论如何针对不同事件展开的进一步工作。然后随着计划的实施，他们需要获取分析结果并找到最合适的利益相关者来帮助量化事件的影响。量化方式应该包括意外事件发生的概率和后果的严重性。CSO应该警告利益相关者，依靠工具或合规框架以及安全技术是不够的，优秀的团队和出色的掌舵人也是他们应该必备的。

信息安全风险评估的一般工作流程可以分为如下几个步骤：

一、对信息系统特征进行描述，也就是分析信息系统本身的特征以及确定信息系统在组织中的业务战略。对信息系统本身的特征，包括软件、硬件、系统接口、数据和信息、人员和系统的使命，都要有清楚地描述。这个步骤需要产生一系列的文档，包括系统边界、系统功能的描述、系统和数据的关键性描述、系统和数据的敏感性描述（数据和系统本身的重要程度，在整个组织里占据什么地位）。

二、识别评估系统所面临的威胁。分析内容包括系统被攻击的历史和来自信息咨询机构和大众信息的数据。比如，网上银行系统，根据一些信息咨询机构和媒体、网络银行范围和手段，以这些信息作为基础，对系统所面临的威胁进行标志和分类。这个步骤需要输出一系列的威胁说明，系统可能遭受什么样的威胁，包括天灾人祸、管理上的威胁和人员上的威胁等，都需要按照规范做出威胁程度和性质的说明。

三、对内在的脆弱性进行识别。脆弱性识别包括：以前风险评估的报告和新的风险评估需要参考以前的风险评估报告，因为，以前的脆弱性可能是系统固有的；同时来源于安全检查过程中，提出的一些整改意见和安全漏洞；以及根据组织本身已有的安全要求和安全期限（Deadline），在系统上线和运行的过程中进行安全测试，如漏洞扫描等。这个步骤还需要输出可能的脆弱性列表，对系统本身的可能脆弱性进行归一化整理。

四、分析当前和规划中的安全防护措施。这个步骤需要输出当前和规划中的安全防护措施的分析报告，作为下一步安全防护的依据。

五、主要目的是确定威胁利用脆弱性对资产发生破坏导致负面影响发生的可能性。这个可能性需要对每一项威胁利用每一个安全事件的可能事件，构建一个安全矩阵，在矩阵上的每一个交点确定可能性的级别。这个步骤需要输出可能性级别的分析文档，这个安全事件最有可能发生，或者是基本不可能发生。

六、分析影响。这个步骤需要分析风险对整个组织的影响，评估资产的关键性、数据的关键性和数据的敏感性。这个步骤需要输出影响级别的分析包括，作为影响级别的矩阵，根据影响和可能性的函数，以及安全防护的措施情况，来确定安全风险。最后形成风险分析结果，包括评价缝隙结果和给出风险等级，以及建议风险控制的措施。

七、确定风险的级别，例如，高风险、低风险，还是其他级别的。

八、根据所确定的风险的级别，建议和提出相应的安全防护措施。安全措施落实以后，需要进行残余风险的分析，判断残余风险是否可以接受。

九、对风险评估的整个过程进行结果记录，这个步骤需要输出一份完整的风险评估报告。

在实际落实风险评估时，以上各步骤必须通过一个体系化的工作流程，有效、有序地进行。

信息安全风险无处不在，正确的评估风险需要培养批判性思维、合适的沟通方法以及严密的工作计划。或许像很多攻击者使用的社工钓鱼一样，CSO也应该正视社会工程学以及心理学的重要作用，尽可能的减少因主观因素所导致的风险偏差。