曾经有一段时间,首席信息安全官在与董事会和高级管理层的每次谈话之中,总能自带“神秘的”主角光环,因为他们如同技术领域的高级牧师,除专业IT人员之外,几乎无人能够真正理解其教义,故而总是为人留下神秘、权威的印象。
然而,一个流传于圈内的玩笑却是,他们所营造的这种形象不过是通过FUD(即恐惧、不确定和怀疑),来赢取预算。除此之外,一些带有极具警醒作用的红色区域的热图(heat map)也能起到很好的视觉辅助作用,加剧受众的恐惧、不确定和怀疑情绪。
进入到合规时代后,首席信息安全官开始拥有了一些行业许可的,甚至政府批准的标准,如美国国家标准技术研究所(NIST)的《网络安全框架》(简称 NIST CSF)等。去年,美国总统特朗普签署网络安全行政命令,要求美国政府机构利用NIST CSF框架推行数据保护和风险管理。这框架不仅适用于美国本土的政府机构,全球企业的网络安全从业者也可参考该框架及使用其指引,为自己的机构定立网络安全的最佳作业守则。
NIST CSF框架包括五个核心功能,分别为识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)以及恢复(Recover),为识别风险、防范及检测威胁,以及应对网络安全事故和事后修复,提供了全面的路线图。
最近,一些供应商也已经开始提供CISO安全“计分卡”,用于计算成熟度等级,漏洞,威胁问题,修复历史纪录以及其他指标等,以进一步提升数字安全等级。
如今,我们已经进入了新的时代。近年来,我们目睹了许多恶意软件成功瘫痪了全球关键企业的运作,为其收益带来了沉重的打击;数据泄露也为上市企业的股价带来了严重的折损。为此,全球政府监管机构——美国证券交易委员会(SEC)、纽约财务部以及欧盟等,都正在通过类似欧盟《通用数据保护法案》(GDPR)之类的法规来不断加强对私营企业网络活动的监管,旨在创造更好、更有效的数据管理和披露环境。
无数的事实证明,全球各个行业的企业都在面临数字中断危机——从自动驾驶汽车和物联网到比特币,他们也正试图探索新方法来权衡这种风险和回报之间的关系。
这些都是董事会会议和C级高管的关注重点,从他们的角度来看,网络风险已经上升到企业风险的水平——他们希望CISO们能够以企业其他部门所能理解的术语来衡量、管理和上报风险状况,即从财务角度来说明风险的可能性和潜在成本。
这种需求对于标准的CISO通信工具包而言是一个挑战,因为它未能真正地传达业务风险。充其量,它只是含蓄地说明了风险情况——如果我们的CISO安全“计分卡”上的数值越低,说明我们面临的风险越多,对吧?如果我们想要花费更多在控制举措上来增加安全得分数值,就意味着必须降低安全风险,是这样没错吧?
不要奢望惯用晦涩难懂术语的CISO能够以财务形式明确告知你风险等级,也不要指望他们来帮助你解决正在面临的棘手问题,例如:
- 如果我们的网络风险达到对公司财务产生重大影响的水平,我应该如何向监管机构进行披露?
- 具备安全内容的任何主要网络项目(例如将业务迁移到云端,或加固和保护我们的关键知识产权)的投资回报率是多少?
隐藏在行业用语背后的信息已经不再适用,业界对于CISO的期望也已经发生了变化。CISO们,欢迎进入网络风险经济时代!
好消息是,作为CISO,您在组织中的地位会得到进一步巩固,因为这是一场需要首席信息安全官主导的“游戏”,不同以往的是,它还需要CISO将网络风险更广泛地与企业业务风险结合在一起,以帮助企业安全部门和业务部门更好地协同工作,在理解彼此需求的基础上更有效地提升企业网络安全水平。
协调网络风险和业务风险的想法很好,但是应该从何处着手呢?
答案就是采用标准的信息风险因子分析(Factor Analysis of Information Risk,简称FAIR)模型,该模型主要以财务术语来评估信息风险。这种方法可以通过从公司和行业来源收集有关网络安全事件的数据,然后将不同类型的风险呈现为相应的财务价值;同时,它也可以通过Monte Carlo模拟引擎运行数据,再以财务形式生成损失风险值。
尽管名字叫做“信息风险因子分析”(FAIR),但是其更多的是考虑风险问题,而不是另一种形式的数字计分卡。目前,许多信息安全团队正在使用FAIR。
正如FAIR标准风险概念所言,想要将业务与损失风险条款中的网络风险保持一致的话,您需要采取下述一些步骤:
首先,了解业务的最大收益在哪里,以及它是如何创造出最大价值的;进而了解在网络攻击事件中遭受财务影响最严重的地方是哪里。通常来说,电子商务的业务中断,计划、设计或其他知识产权被盗、从数据库中泄露机密的客户信息,这些都会导致销售损失、市场份额损失、法律费用、劳动力成本等等。事实上,只需通过询问您的财务、人力资源、法律或运营部门,或是通过行业报告进行扩充,这些损失都是可以量化的。
其次,了解造成损失的可能性网络事件的类型和发生频率。您的安全运营中心(SOC)或记录网络故障的部门将帮助您了解这些历史网络攻击事件发生的事件和地点。将这些信息与威胁情报供应商和行业报告(如Verizon数据泄露调查报告)相结合,将为您的企业提供有关未来网络攻击的相关预测和建议。
可以说,“漏洞”并不是风险,“勒索软件”以及“云”也都不是风险。我想,肯定不止你一人有这样的疑问:这些听起来都像风险列表中罗列的风险项目,却为什么不能称为“风险”呢?
因为它们都只是导致风险的因素,但它们本身并不是风险/损失事件。许多团队都通过核对并清理风险列表,并让每个人都专注于可能导致其组织真正损失的可能性事件,来开始实施FAIR。他们会持续优先考虑这些风险,然后使用FAIR驱动的软件来运行分析,以了解哪些控制措施在降低安全风险方面发挥了实际作用。当董事会或C级管理者想要了解新威胁所产生的影响,或是与新项目相关的风险(如将关键应用程序迁移到云端)时,CISO们就可以使用FAIR驱动的软件所具备的分析能力和应用程序,快速地反馈一系列方案,将风险选择更为清晰地呈现给决策者。
这是一场不断发展演进的运动,我认为,在这个对首席信息安全官的期望日趋加剧的时代,这种运动是一种非常有益的存在。
相关阅读