CISO們深知風(fēng)險(xiǎn)管理對于建立和維持企業(yè)安全的韌性至關(guān)重要，然而，盡管他們盡了最大的努力并懷有良好的意圖，許多安全領(lǐng)導(dǎo)者仍然會陷入常見的陷阱，從而削弱了他們的最佳努力。

無論企業(yè)的規(guī)模、使命或范圍如何，風(fēng)險(xiǎn)管理在整體安全態(tài)勢中都扮演著基礎(chǔ)性角色，即便是看似簡單的錯(cuò)誤也可能帶來嚴(yán)重后果，而CISO不可避免地會因此被指責(zé)。

以下是CISO在風(fēng)險(xiǎn)管理中常犯的錯(cuò)誤及如何避免它們的詳細(xì)介紹。

1. 缺乏明確的目標(biāo)

CISO最常犯的風(fēng)險(xiǎn)管理錯(cuò)誤之一就是未能創(chuàng)建一個(gè)明確的項(xiàng)目目標(biāo)，Deloitte(德勤)網(wǎng)絡(luò)業(yè)務(wù)咨詢部門的負(fù)責(zé)人Kristi Preuss表示。

Preuss觀察到，許多CISO每天都在應(yīng)對各種持續(xù)存在的問題和突發(fā)事件。因此，他們始終處于“救火模式”，沒有時(shí)間去制定或成功實(shí)施一個(gè)更廣泛的信息安全戰(zhàn)略。她說：“相反，許多CISO一上任就陷入細(xì)節(jié)中，試圖一次性處理所有問題，往往只能依賴遺留工具和有限的資源。”

當(dāng)CISO陷于這種被動(dòng)和操作性的工作方式時(shí)，企業(yè)戰(zhàn)略就會受到影響，企業(yè)的安全控制也很難跟上并超越當(dāng)前的威脅態(tài)勢。Preuss指出：“如果項(xiàng)目目標(biāo)過時(shí)或定義不清，戰(zhàn)略投資有限，缺乏創(chuàng)新的戰(zhàn)略規(guī)劃，CISO不僅讓企業(yè)受到了損害，還最終增加了信息安全和網(wǎng)絡(luò)風(fēng)險(xiǎn)?！?/p>

Preuss建議，那些希望擺脫困境、回歸戰(zhàn)略領(lǐng)導(dǎo)地位并采取主動(dòng)安全策略的CISO應(yīng)當(dāng)部署常規(guī)化的操作性風(fēng)險(xiǎn)流程。她還建議減少關(guān)鍵團(tuán)隊(duì)成員花費(fèi)在可以由非關(guān)鍵人員處理的日常任務(wù)上的時(shí)間。

2. 過度進(jìn)行安全和風(fēng)險(xiǎn)評估

許多CISO構(gòu)建了過于控制導(dǎo)向的安全和風(fēng)險(xiǎn)管理項(xiàng)目，導(dǎo)致幾乎不斷地進(jìn)行風(fēng)險(xiǎn)評估，總是試圖發(fā)現(xiàn)新的問題來解決。Google Cloud(谷歌云)CISO辦公室全球負(fù)責(zé)人Nick Godfrey警告說。

“盡管最初進(jìn)行風(fēng)險(xiǎn)評估對減輕風(fēng)險(xiǎn)是有幫助的，但長期來看，這變得不再具有生產(chǎn)力，導(dǎo)致一個(gè)無休止的循環(huán)，產(chǎn)生不成比例的成本，并錯(cuò)失資源可以更好地投入其他地方的機(jī)會?！彼硎?。

Godfrey指出，CISO通常想要應(yīng)對組織可能面臨的每一個(gè)風(fēng)險(xiǎn)，往往是在董事會的壓力下，推動(dòng)安全領(lǐng)導(dǎo)者變得過于謹(jǐn)慎?！斑@導(dǎo)致建立了‘硬編碼’的風(fēng)險(xiǎn)項(xiàng)目，唯一的做法是優(yōu)先進(jìn)行持續(xù)的風(fēng)險(xiǎn)評估和緩解措施?！彼f。

這種被動(dòng)的思維方式可能會掩蓋對更具戰(zhàn)略性方法的需求，這種方法應(yīng)考慮到風(fēng)險(xiǎn)對人員、產(chǎn)品和財(cái)務(wù)的潛在影響。此外，心理因素也可能導(dǎo)致個(gè)人或團(tuán)隊(duì)在風(fēng)險(xiǎn)評估方面表現(xiàn)不佳。

Godfrey表示，正確的風(fēng)險(xiǎn)管理方法是一個(gè)整體性的方法，既要保持適當(dāng)?shù)娘L(fēng)險(xiǎn)水平，又不需要持續(xù)進(jìn)行緩解工作，從而可以根據(jù)需要更合理地重新分配資源。

他說：“擁有最佳安全態(tài)勢的組織不僅僅是保持低風(fēng)險(xiǎn)，還會花費(fèi)額外的時(shí)間來提高效率和能力，以進(jìn)一步降低風(fēng)險(xiǎn)?！?/p>

Godfrey建議優(yōu)化風(fēng)險(xiǎn)控制的安排，以減少所需的控制數(shù)量，自動(dòng)化活動(dòng)以減少維護(hù)和管理負(fù)擔(dān)，并通過強(qiáng)有力的欺詐預(yù)防方法改善客戶體驗(yàn)。

3. 未能建立真正的安全文化

文化是信念、價(jià)值觀和行為的綜合體，因此，網(wǎng)絡(luò)安全文化主要由組織內(nèi)部的人所推動(dòng)。NCC Group(NCC集團(tuán))網(wǎng)絡(luò)安全和托管服務(wù)公司的風(fēng)險(xiǎn)管理和治理技術(shù)總監(jiān)Sourya Biswas表示，建立這種文化的最佳方式是通過實(shí)際行動(dòng)來展示，而不僅僅是通過宏偉的使命聲明或華麗的演示。

他指出：“一個(gè)能夠堅(jiān)持正確的安全信念、共享正確的安全價(jià)值觀并激勵(lì)正確安全行為的企業(yè)，能夠建立起正確的企業(yè)級網(wǎng)絡(luò)安全文化。沒有正確的文化，再好的安全策略也會失敗?！?/p>

由于網(wǎng)絡(luò)安全文化主要由人來驅(qū)動(dòng)，它應(yīng)該由企業(yè)最高層的領(lǐng)導(dǎo)來示范，Biswas表示?！皳Q句話說，這不應(yīng)該是安全組織的責(zé)任，而是整個(gè)高管團(tuán)隊(duì)和董事會的責(zé)任。”他認(rèn)為，最高層的態(tài)度對于培養(yǎng)有意義的網(wǎng)絡(luò)安全文化至關(guān)重要。如果員工看到領(lǐng)導(dǎo)層不踐行他們所倡導(dǎo)的原則，他們也很可能會效仿。

他總結(jié)道：“最終，企業(yè)中的每個(gè)人都有責(zé)任促進(jìn)網(wǎng)絡(luò)安全文化。”

4. 認(rèn)為他們的安全比實(shí)際情況更牢固

CISO犯的最大錯(cuò)誤是認(rèn)為他們已經(jīng)獲得了完全的控制權(quán)，依賴他們的安全計(jì)劃，并將信心寄托于一系列行業(yè)認(rèn)證，認(rèn)為這些可以保護(hù)他們的企業(yè)免受網(wǎng)絡(luò)威脅。Radware網(wǎng)絡(luò)安全技術(shù)提供商的CISO Howard Taylor指出，網(wǎng)絡(luò)安全復(fù)雜且不斷演變，總會有新的攻擊者、新的攻擊方式，或者舊攻擊的新變種?！氨３志韬蜏?zhǔn)備是唯一真正管理風(fēng)險(xiǎn)的方式?！?/p>

網(wǎng)絡(luò)安全需求隨著時(shí)間的推移而變化。Taylor警告說：“如果你沒有定期改進(jìn)和驗(yàn)證你的控制環(huán)境，你會發(fā)現(xiàn)你的企業(yè)處于無保護(hù)狀態(tài)?！蓖{態(tài)勢處于持續(xù)變化之中，初次實(shí)施時(shí)被認(rèn)為強(qiáng)大的安全解決方案，隨著時(shí)間的推移會變得脆弱?！澳呐轮皇且恍《螘r(shí)間放松警惕，都可能付出巨大的代價(jià)?！?/p>

更糟糕的是，CISO常常基于一種虛假的安全感做出決策，Taylor表示。他們花費(fèi)了大量的資金和時(shí)間來改進(jìn)網(wǎng)絡(luò)安全防御和培訓(xùn)團(tuán)隊(duì)，認(rèn)為不可能達(dá)不到完全的保護(hù)。

“實(shí)際上，對于‘我們是否安全?’這個(gè)問題，唯一真正的答案應(yīng)該永遠(yuǎn)是相同的——一個(gè)響亮的‘不’?！彼f。

5. 打勾式的風(fēng)險(xiǎn)管理方式

ISG(ISG技術(shù)研究和咨詢公司)的數(shù)字技術(shù)研究主管Jeff Orr表示，CISO們通常專注于確保符合法規(guī)和標(biāo)準(zhǔn)，而不是評估和管理他們的企業(yè)面臨的實(shí)際風(fēng)險(xiǎn)。

“這可能源于一種誤解，即合規(guī)等同于安全，”他表示，并補(bǔ)充道，這種誤解可能導(dǎo)致一種打勾式的心態(tài)，使企業(yè)只專注于符合法規(guī)要求，卻忽視了評估和緩解現(xiàn)實(shí)世界中的威脅?！敖Y(jié)果是，漏洞可能持續(xù)存在，導(dǎo)致本可以通過更具戰(zhàn)略性、基于風(fēng)險(xiǎn)的方法避免的泄露和數(shù)據(jù)丟失?！?/p>

Orr表示，隨著時(shí)間的推移，CISO可能會變得自滿，依賴既定的安全協(xié)議，而不重新評估其有效性或適應(yīng)新風(fēng)險(xiǎn)?！耙环N被動(dòng)的‘打地鼠’式方法是不可持續(xù)的，它可能導(dǎo)致過時(shí)的安全政策和控制，無法應(yīng)對當(dāng)前的威脅?！?/p>

6. 未能建立有效的衡量指標(biāo)和治理模型

安全策略公司Tufin的現(xiàn)場CTO Erez Tadmor建議，CISO應(yīng)平衡其安全工具與強(qiáng)有力的、持續(xù)的衡量和治理模型。“通過優(yōu)先開發(fā)并定期審查這些框架，CISO可以顯著增強(qiáng)組織的安全態(tài)勢?！彼硎尽?/p>

有效的衡量指標(biāo)和治理模型將有助于確保安全政策始終與法規(guī)要求、行業(yè)最佳實(shí)踐以及企業(yè)的特定需求保持一致。Tadmor表示：“清晰且持續(xù)的可見性使團(tuán)隊(duì)能夠在錯(cuò)誤配置導(dǎo)致安全漏洞之前發(fā)現(xiàn)問題。沒有強(qiáng)有力的衡量指標(biāo)和治理，衡量安全舉措的成功以及保持最新、有效的政策將變得非常困難?！?/p>

7. 未能創(chuàng)建強(qiáng)有力的運(yùn)營彈性計(jì)劃

Semperis安全技術(shù)提供商的CISO Jim Doggett表示，運(yùn)營彈性計(jì)劃從全局出發(fā)，涵蓋整個(gè)企業(yè)的生態(tài)系統(tǒng)，展示在破壞性事件期間如何維持業(yè)務(wù)運(yùn)作。“通過優(yōu)先考慮運(yùn)營彈性，CISO可以在應(yīng)對關(guān)鍵安全風(fēng)險(xiǎn)的同時(shí)平衡業(yè)務(wù)連續(xù)性管理。”

Doggett說，通過細(xì)致的規(guī)劃，企業(yè)可以減少中斷，快速恢復(fù)，并在遭遇攻擊時(shí)減少對企業(yè)利潤的影響。“如果沒有運(yùn)營彈性計(jì)劃，你的整個(gè)生態(tài)系統(tǒng)，包括供應(yīng)商、合作伙伴和供應(yīng)鏈，都會面臨風(fēng)險(xiǎn)?！?/p>

然而，運(yùn)營彈性工作往往會在企業(yè)內(nèi)部缺乏協(xié)調(diào)時(shí)失敗?！白鳛槠髽I(yè)的領(lǐng)導(dǎo)者，CISO負(fù)責(zé)推動(dòng)安全舉措，但運(yùn)營彈性需要整個(gè)組織的參與，”Doggett表示，“你不能僅僅把它交給某個(gè)部門或團(tuán)隊(duì)，所有人都需要參與其中?！?/p>