Michael Gabriel是Fortium Partners公司合伙人,作為企業(yè)技術(shù)代表,他參加了美國(guó)信息風(fēng)險(xiǎn)委員會(huì)召開(kāi)的一次會(huì)議。此外,還有來(lái)自財(cái)務(wù)、人力資源、法律、人身安全、內(nèi)部審計(jì)以及外部審計(jì)行業(yè)領(lǐng)域的一些高級(jí)管理人員參加了會(huì)議。外部審計(jì)表明,安全人員需要向企業(yè)董事會(huì)介紹潛在的網(wǎng)絡(luò)安全威脅。問(wèn)題是,如果在管理人員做出回應(yīng)之前就傳達(dá)了這一點(diǎn),那么所要做的就是引起他們的關(guān)注,否則可能無(wú)濟(jì)于事。
Michael Gabriel表示,人們圍繞如何最好地傳達(dá)整體企業(yè)網(wǎng)絡(luò)安全狀況以及跨各個(gè)部門(mén)提出了一些問(wèn)題,企業(yè)董事會(huì)需要盡快意識(shí)到這一點(diǎn)。無(wú)論網(wǎng)絡(luò)安全情況如何,都需要由外部審計(jì)向企業(yè)董事會(huì)提供簡(jiǎn)報(bào),而這是合理和必要的措施。
Michael Gabriel調(diào)查了一些專(zhuān)注于網(wǎng)絡(luò)的大型專(zhuān)業(yè)服務(wù)公司,這些公司都建立了網(wǎng)絡(luò)安全方法,但從最初的努力和持續(xù)的維護(hù)來(lái)看似乎非常困難,因?yàn)闆](méi)有人能提供人們想要傳達(dá)的清晰視角。
需要通過(guò)時(shí)間維度來(lái)看待網(wǎng)絡(luò)安全觀(guān)點(diǎn)
現(xiàn)在,人們都知道最好是通過(guò)一個(gè)清晰的故事傳達(dá)觀(guān)點(diǎn)。而人們的經(jīng)歷將會(huì)強(qiáng)化傳達(dá)的觀(guān)點(diǎn),其中包括:
•過(guò)去–就重大事件而言,人們經(jīng)歷了什么?在這些事件中,人們學(xué)到了什么,做了什么?
•現(xiàn)狀–人們?cè)谛侣勚新?tīng)到的威脅相關(guān)的風(fēng)險(xiǎn)是什么?將如何應(yīng)對(duì)?
•未來(lái)–基于業(yè)務(wù)計(jì)劃和不斷發(fā)展的威脅,人們對(duì)未來(lái)需要擔(dān)心什么?這對(duì)前瞻計(jì)劃有何影響?
為了確保根據(jù)過(guò)去、現(xiàn)在和將來(lái)的觀(guān)點(diǎn)給予適當(dāng)?shù)年P(guān)注,有必要持續(xù)更新?tīng)顟B(tài),重點(diǎn)放在關(guān)鍵的業(yè)務(wù)影響指標(biāo)和計(jì)劃上,最好是在與企業(yè)董事會(huì)會(huì)議相銜接的基礎(chǔ)上進(jìn)行。當(dāng)然,這并不排除根據(jù)實(shí)際事件或感知到的威脅立即發(fā)出通知和采取行動(dòng)的可能性,這些項(xiàng)目將列入下一次狀態(tài)更新中。雖然這為人們的工作方式提供了時(shí)間視角,但并沒(méi)有解決系統(tǒng)化網(wǎng)絡(luò)安全態(tài)勢(shì)所需的參考點(diǎn)。
確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的基礎(chǔ)是什么?
Rain Capital公司執(zhí)行合伙人兼董事會(huì)成員王晨曦(Chenxi Wang)博士提供了一個(gè)指導(dǎo)性的問(wèn)題,就是“我們到底有多安全?”因?yàn)樗皇腔谌魏卧u(píng)估框架的,而是基于個(gè)人觀(guān)點(diǎn)的意見(jiàn)。要了解企業(yè)的安全狀況,需要結(jié)合了解企業(yè)的威脅矩陣和評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的基礎(chǔ)。
王晨曦博士指出,“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要在企業(yè)面臨的重大風(fēng)險(xiǎn)的背景下進(jìn)行討論。如何評(píng)估這些風(fēng)險(xiǎn)是否需要董事會(huì)關(guān)注,應(yīng)該使用類(lèi)似的風(fēng)險(xiǎn)框架,并且每6個(gè)月左右評(píng)估一次。”
專(zhuān)家提出的例子通常是為家庭實(shí)施的安全保護(hù)。例如家庭中每個(gè)房間都部署感測(cè)器,例如煙霧、熱量、水、一氧化碳、運(yùn)動(dòng)探測(cè)器和攝像頭,每個(gè)房間采用全天候監(jiān)控,但是并不能保證住房不會(huì)被搶劫,不會(huì)著火,也不會(huì)被洪水淹沒(méi)。雖然購(gòu)買(mǎi)保險(xiǎn)能夠彌補(bǔ)一些損失,但房主的生活將會(huì)受到嚴(yán)重中斷,可能失去一些珍貴的貴重物品。但是,房主可以基于需要保護(hù)的內(nèi)容決定需要支出保險(xiǎn)費(fèi)用。
從業(yè)務(wù)角度來(lái)看,這確實(shí)沒(méi)有什么不同。通過(guò)法律合同,企業(yè)的業(yè)務(wù)會(huì)受到法律保護(hù),免受第三方網(wǎng)絡(luò)事件的影響,并在財(cái)務(wù)上受到網(wǎng)絡(luò)保險(xiǎn)的保護(hù),但是即使采用這些保護(hù)措施,企業(yè)的聲譽(yù)會(huì)受到什么影響?在進(jìn)行補(bǔ)救之前,它將如何影響企業(yè)正在進(jìn)行的流程或消費(fèi)者或業(yè)務(wù)關(guān)系?
企業(yè)的業(yè)務(wù)風(fēng)險(xiǎn)和必要保護(hù)將根據(jù)其業(yè)務(wù)類(lèi)型而有所不同。企業(yè)需要決定哪些資產(chǎn)(數(shù)據(jù)、系統(tǒng)訪(fǎng)問(wèn)等)需要保護(hù)?如果這些資產(chǎn)受損會(huì)有什么影響?
Gabriel表示,例如媒體集團(tuán)有一些不同的業(yè)務(wù),而訂閱電視/點(diǎn)播業(yè)務(wù)面臨的風(fēng)險(xiǎn)不同于實(shí)時(shí)新聞機(jī)構(gòu),廣告支持的廣播網(wǎng)絡(luò),電視和電影制作公司。盡管在整個(gè)組織中都有標(biāo)準(zhǔn)的信息安全策略,但是它們?cè)诟鱾€(gè)業(yè)務(wù)部門(mén)中的相關(guān)程度卻有所不同。
企業(yè)需要保護(hù)哪些資產(chǎn)?
管理人員需要考慮對(duì)于企業(yè)真正重要的事情。需要考慮的一些領(lǐng)域包括:
•消費(fèi)者信息(無(wú)論是企業(yè)內(nèi)部還是第三方管理)
•法規(guī)遵從性(包括州和聯(lián)邦政府,國(guó)內(nèi)和國(guó)際),例如PII、PCI、GDPR、CCPA、HIPPA等。
•供應(yīng)鏈(數(shù)字或其他)
•品牌聲譽(yù)(包括社交媒體影響以及面向公眾或B2B的網(wǎng)站)
•知識(shí)產(chǎn)權(quán)保護(hù),包括戰(zhàn)略和計(jì)劃
•員工信息(包括保密的第三方人員信息)
•非公開(kāi)財(cái)務(wù)和合同信息
要發(fā)現(xiàn)這一點(diǎn),需要與每個(gè)部門(mén)的所有業(yè)務(wù)負(fù)責(zé)人以及企業(yè)的外部會(huì)計(jì)事務(wù)所進(jìn)行探討。企業(yè)管理人員必須能夠建立自己的信任關(guān)系,為業(yè)務(wù)提供幫助,而風(fēng)險(xiǎn)承受能力是業(yè)務(wù)決策,管理人員可以提供指導(dǎo)。
然后,企業(yè)需要了解網(wǎng)絡(luò)安全框架和標(biāo)準(zhǔn)??梢钥紤]以下一些標(biāo)準(zhǔn),但建議匯總這些標(biāo)準(zhǔn)以傳達(dá)摘要級(jí)別的狀態(tài),并以某種方式傳達(dá)當(dāng)前和未來(lái)網(wǎng)絡(luò)安全計(jì)劃的潛在業(yè)務(wù)和財(cái)務(wù)影響:
•互聯(lián)網(wǎng)安全中心(CIS)關(guān)鍵安全控制(CSC)
•美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的網(wǎng)絡(luò)安全框架(CSF)
•SANS前20個(gè)控件
•歐盟的GDPR(通用數(shù)據(jù)保護(hù)法規(guī))
•加州消費(fèi)者保護(hù)法(CCPA)
•ISO 27000系列(國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC))
•美國(guó)企業(yè)董事協(xié)會(huì)(NACD)網(wǎng)絡(luò)安全準(zhǔn)則
資金對(duì)企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有何影響?與同行相比如何?
盡職調(diào)查對(duì)于確定企業(yè)的網(wǎng)絡(luò)安全地位至關(guān)重要,企業(yè)的首席財(cái)務(wù)官可以發(fā)揮重要作用。
行業(yè)中通常會(huì)有一些有關(guān)支出的行業(yè)指南,例如金融服務(wù)部門(mén)網(wǎng)絡(luò)安全配置文件,可用于支出評(píng)估。那么會(huì)根據(jù)他們可能擁有的專(zhuān)業(yè)知識(shí)來(lái)探討對(duì)其審計(jì)公司以及關(guān)鍵網(wǎng)絡(luò)安全公司而言哪個(gè)有意義。
但是從這個(gè)角度來(lái)看,預(yù)算支出如何影響企業(yè)情況?如果企業(yè)的首席財(cái)務(wù)官、首席運(yùn)營(yíng)官或董事會(huì)問(wèn)以下這些問(wèn)題,那么將如何回應(yīng)?
•是否需要更多資金用于網(wǎng)絡(luò)安全計(jì)劃,如果需要將如何降低風(fēng)險(xiǎn)?
•如果要求企業(yè)的網(wǎng)絡(luò)安全預(yù)算削減10%,這是否增加風(fēng)險(xiǎn)?
那么需要花費(fèi)多少資金?是否批準(zhǔn)該請(qǐng)求以獲取更多資源,或者是新的人工智能/機(jī)器學(xué)習(xí)威脅防御工具?從業(yè)務(wù)角度如何傳遞風(fēng)險(xiǎn)?公認(rèn)的最佳實(shí)踐是使用基于風(fēng)險(xiǎn)的方法,該方法旨在確定采取適當(dāng)?shù)念A(yù)防措施的成本是否值得潛在的風(fēng)險(xiǎn)影響。它可以是一個(gè)簡(jiǎn)單的四象限視角,例如在一個(gè)軸上的風(fēng)險(xiǎn)從低到高,而另一軸上的成本從低到高,并且可以幫助企業(yè)評(píng)估有限的支出應(yīng)該應(yīng)用在哪里。
不過(guò),正如Michael Gabriel在IBM高管會(huì)議上了解到的那樣,人們通常根據(jù)當(dāng)前的確定性來(lái)決定未來(lái)的不確定性。David Rock博士在行業(yè)媒體上發(fā)表的文章支持了這一點(diǎn):“通常人們的大腦渴望確定性,并像避免痛苦一樣避免不確定性”,這篇文章提到了如何處理確定性與不確定性的原則。人們致力于自動(dòng)避免不確定性,并說(shuō)明了為什么偏愛(ài)所了解的當(dāng)前事物而不是不利的事物。它解釋了當(dāng)前財(cái)務(wù)成本增加的阻力,以及何時(shí)發(fā)生網(wǎng)絡(luò)安全事件對(duì)其財(cái)務(wù)影響的不確定性。
在這里,有很多首席信息安全官的例子,有人問(wèn)他們是否會(huì)在明年或幾年內(nèi)再次提出對(duì)額外資源的要求。他們并不會(huì)表示內(nèi)部和外部因素都會(huì)有影響。因此建議他們確保傳達(dá)要求的原因,這是公司控制的事件,例如收購(gòu)和整合成本使他們的新業(yè)務(wù)提高了安全性?如果是這樣,則要決定這些更改是否合理,因?yàn)檫@是業(yè)務(wù)決策。還是有新的業(yè)務(wù)擴(kuò)展(例如直接面向消費(fèi)者)對(duì)網(wǎng)絡(luò)安全產(chǎn)生影響?還是需要保護(hù)新的營(yíng)業(yè)地點(diǎn)?企業(yè)需要感覺(jué)自己對(duì)這些決策擁有一定的控制權(quán)。只有通過(guò)適當(dāng)?shù)脑u(píng)估框架,并了解潛在的網(wǎng)絡(luò)安全事件和預(yù)防性緩解成本對(duì)業(yè)務(wù)的影響,才能做到這一點(diǎn)。
由于發(fā)生某種類(lèi)型網(wǎng)絡(luò)安全事件的可能性很高,因此企業(yè)還需要為事件響應(yīng)做好準(zhǔn)備——操作、法定和面向公眾。所有這些都會(huì)受到特定事件、業(yè)務(wù)類(lèi)型、技術(shù)結(jié)構(gòu)、第三方依賴(lài)關(guān)系以及不同類(lèi)型的網(wǎng)絡(luò)安全事件的潛在影響。這也可以用上述類(lèi)似的基于風(fēng)險(xiǎn)的方法來(lái)處理。
除非企業(yè)認(rèn)真對(duì)待網(wǎng)絡(luò)安全,否則將掉入資金的黑洞。企業(yè)管理人員需要做出權(quán)衡和艱難的決定。需要準(zhǔn)備好回答有關(guān)組織的網(wǎng)絡(luò)安全成熟度和為管理新出現(xiàn)的威脅而建立的框架的問(wèn)題。應(yīng)確保網(wǎng)絡(luò)安全狀態(tài)的框架與管理其他業(yè)務(wù)風(fēng)險(xiǎn)的方式類(lèi)似,即潛在安全事件對(duì)業(yè)務(wù)資產(chǎn)的影響。
與企業(yè)首席財(cái)務(wù)官、首席運(yùn)營(yíng)官以及首席法律官(內(nèi)部或外部審計(jì))合作,以幫助為此提供依據(jù)。例如首席信息官、首席技術(shù)官、首席信息安全官等高管有責(zé)任以業(yè)務(wù)術(shù)語(yǔ)簡(jiǎn)潔地解釋潛在風(fēng)險(xiǎn)和降低風(fēng)險(xiǎn)。盡管有些高管不喜歡看到網(wǎng)絡(luò)安全問(wèn)題被記錄在案,但對(duì)此視而不見(jiàn)將會(huì)面臨風(fēng)險(xiǎn)。以業(yè)務(wù)可理解的角度負(fù)責(zé)任地傳達(dá)此信息,并建立適當(dāng)?shù)睦嫦嚓P(guān)者支持,這是企業(yè)的責(zé)任。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)