前Uber首席信息安全官Joe Sullivan，因試圖掩蓋2016年Uber遭受的數(shù)據(jù)泄露事件而被判有罪，最近提出在不久的將來，CEO可能會(huì)直接對(duì)網(wǎng)絡(luò)安全漏洞負(fù)責(zé)。

考慮到《網(wǎng)絡(luò)安全框架2.0》（CSF 2.0）在治理和與董事會(huì)溝通方面的變化，Sullivan認(rèn)為責(zé)任不會(huì)止步于首席信息安全官（CISO），而很可能會(huì)向上延伸至CEO。

在他的文章中，Sullivan敦促CEO們?yōu)镃ISO提供更多資源來完成他們的工作，但如果他指的是增加資金來購買更多的安全控制措施，這可能會(huì)讓CEO們難以接受。網(wǎng)絡(luò)安全預(yù)算增長一貫超過一般IT支出。雖然由于經(jīng)濟(jì)問題，2022年和2023年的網(wǎng)絡(luò)安全預(yù)算增長有所放緩，但最近對(duì)CISO的調(diào)查報(bào)告顯示，企業(yè)在網(wǎng)絡(luò)安全方面的支出仍然強(qiáng)勁增長。

CISO們知道他們擁有的安全控制措施多到難以管理：工具過多和工具癱瘓是已知的缺陷——新增的網(wǎng)絡(luò)安全控制措施并不是問題所在。

四個(gè)關(guān)鍵步驟：發(fā)言時(shí)間、指標(biāo)、實(shí)習(xí)和過程監(jiān)控

如果不是需要更多資金來新增或擴(kuò)展控制措施，那么CEO們可以給CISO提供什么來降低風(fēng)險(xiǎn)并最終加強(qiáng)CEO自身面臨的法律責(zé)任呢？

與董事會(huì)更多的溝通時(shí)間

大多數(shù)董事會(huì)仍然缺乏對(duì)當(dāng)今網(wǎng)絡(luò)安全團(tuán)隊(duì)所面臨挑戰(zhàn)的背景和理解。

部分原因是簡(jiǎn)單的缺乏接觸。盡管越來越多的監(jiān)管機(jī)構(gòu)——包括美國證券交易委員會(huì)（SEC）、聯(lián)邦貿(mào)易委員會(huì)（FTC）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）——已要求公開注冊(cè)實(shí)體進(jìn)行嚴(yán)格的披露和網(wǎng)絡(luò)安全規(guī)劃，但只有少數(shù)公開公司在其董事會(huì)中設(shè)有技術(shù)委員會(huì)，更不用說定期進(jìn)行網(wǎng)絡(luò)安全對(duì)話以探討威脅和風(fēng)險(xiǎn)了。

另一個(gè)原因是將網(wǎng)絡(luò)安全審計(jì)置于總法律顧問或首席財(cái)務(wù)官辦公室下。無論如何，在每次董事會(huì)會(huì)議中撥出30分鐘與公司CISO討論網(wǎng)絡(luò)安全挑戰(zhàn)，將有助于他們建立必要的政治資本，使網(wǎng)絡(luò)安全成為董事會(huì)層面的關(guān)注點(diǎn)。

在季度報(bào)告中發(fā)布一套共享指標(biāo)

任何不認(rèn)為網(wǎng)絡(luò)安全是公司財(cái)務(wù)健康的重大問題的CEO都沒有真正關(guān)注這個(gè)問題。

公開交易的保險(xiǎn)巨頭的子公司Change Healthcare在一次勒索軟件攻擊后，其藥房驗(yàn)證和支付系統(tǒng)癱瘓，面臨可能高達(dá)十億美元的事件恢復(fù)費(fèi)用。由于依賴該服務(wù)的醫(yī)療保健機(jī)構(gòu)和醫(yī)院所遭受的損失，Change Healthcare可能還面臨數(shù)十億美元的法律賠償。2017年，由于一個(gè)未修補(bǔ)的軟件組件導(dǎo)致的漏洞，使信用報(bào)告機(jī)構(gòu)Equifax損失超過十億美元，包括法律費(fèi)用、增加的客戶服務(wù)和事件響應(yīng)費(fèi)用。

CEO們應(yīng)該表現(xiàn)出他們對(duì)網(wǎng)絡(luò)安全的重視，并在公司報(bào)告中增加指標(biāo)，以表明這是一個(gè)重要的關(guān)注點(diǎn)。對(duì)于CISO來說，與CEO達(dá)成一套指標(biāo)協(xié)議將提供一個(gè)明確的方向，并推動(dòng)資源和人力的對(duì)齊，以確保指標(biāo)繼續(xù)向正確的方向發(fā)展。

網(wǎng)絡(luò)安全實(shí)習(xí)計(jì)劃以引進(jìn)初級(jí)工程師

盡管網(wǎng)絡(luò)安全團(tuán)隊(duì)部署了大量技術(shù)，但推動(dòng)真正進(jìn)展的還是人力。

網(wǎng)絡(luò)安全專業(yè)人員的短缺正在惡化。根據(jù)ISC2的數(shù)據(jù)，全球缺少近400萬所需的網(wǎng)絡(luò)安全專家。盡管如此，2023年的網(wǎng)絡(luò)安全隊(duì)伍增加了近10%。

在競(jìng)爭(zhēng)激烈的就業(yè)市場(chǎng)中，發(fā)布新的招聘信息已經(jīng)不夠了。越來越多的科技公司，如IBM，正在創(chuàng)建實(shí)習(xí)管道，從社區(qū)大學(xué)或不知名大學(xué)招募和培訓(xùn)初級(jí)工程師。雖然這種方法需要更多的基礎(chǔ)設(shè)施、可行的課程以及一些耐心，但它可以產(chǎn)生更強(qiáng)大的員工管道，使他們?cè)趯?duì)所保護(hù)系統(tǒng)有先前知識(shí)的情況下直接進(jìn)入工作。

持續(xù)的安全流程映射和監(jiān)控

雖然人力在加強(qiáng)網(wǎng)絡(luò)安全方面至關(guān)重要，但人類也往往是網(wǎng)絡(luò)安全鏈中最薄弱的一環(huán)。

絕大多數(shù)重大漏洞和攻擊都涉及人為錯(cuò)誤。大多數(shù)CISO都會(huì)進(jìn)行紅隊(duì)演習(xí)，使用滲透測(cè)試或攻擊模擬服務(wù)或工具，并采取其他措施來測(cè)試事件響應(yīng)。網(wǎng)絡(luò)取證工具可以幫助繪制攻擊鏈，詳細(xì)的根本原因分析可以指出特定演習(xí)中的具體失敗，但CISO缺乏對(duì)事件響應(yīng)的持續(xù)分析，往往只關(guān)注最嚴(yán)重的漏洞，即使這些漏洞可能只是由于先前的“流程債務(wù)”導(dǎo)致網(wǎng)絡(luò)團(tuán)隊(duì)無意間留下風(fēng)險(xiǎn)漏洞。

由于網(wǎng)絡(luò)安全互動(dòng)和流程的復(fù)雜性以及事件響應(yīng)的不可預(yù)測(cè)性，映射安全流程可能具有挑戰(zhàn)性。話雖如此，對(duì)CISO提起的案件都圍繞著欺詐和欺騙的指控。在沒有系統(tǒng)自動(dòng)捕獲安全流程和人類行為的情況下，這樣的指控更難以辯護(hù)，從而消除了“意圖”的灰色地帶。新解決方案可以將流程映射和監(jiān)控應(yīng)用于安全工作流程，確保最佳實(shí)踐的可見性和執(zhí)行。

結(jié)論：與CISO的合作至關(guān)重要

嚴(yán)肅對(duì)待網(wǎng)絡(luò)安全的CEO必須優(yōu)先考慮與CISO的合作，并將他們納入定期會(huì)議的輪換中。隨著AI帶來許多新風(fēng)險(xiǎn)，增加工具預(yù)算可能是必要的，但這既不是充分的也不是最重要的一步。

CISO需要更好的人力和更好的流程來履行保持企業(yè)安全的承諾。監(jiān)管機(jī)構(gòu)不僅關(guān)注能力，還關(guān)注作為最佳努力證據(jù)的意圖和流程。指標(biāo)是一個(gè)明確的方向，但可視化和改進(jìn)由工程師執(zhí)行的流程同樣重要。隨著更多CISO面臨指控，CEO應(yīng)該擔(dān)心他們可能是下一個(gè)，并開始思考如何更好地保護(hù)他們的網(wǎng)絡(luò)資產(chǎn)和網(wǎng)絡(luò)團(tuán)隊(duì)。