在當(dāng)今瞬息萬變的數(shù)字時(shí)代，網(wǎng)絡(luò)安全已經(jīng)成為每個(gè)組織的頭等大事。隨著技術(shù)的飛速發(fā)展和全球互聯(lián)程度的不斷加深，我們面臨著前所未有的網(wǎng)絡(luò)威脅。黑客變得更加老練，攻擊更加復(fù)雜，而我們的防御措施卻常常跟不上形勢的發(fā)展。

我們已經(jīng)到了一個(gè)關(guān)鍵的轉(zhuǎn)折點(diǎn)。傳統(tǒng)的網(wǎng)絡(luò)安全策略已經(jīng)不再奏效。我們需要一種全新的思維方式，一種能夠適應(yīng)不斷變化的威脅格局的方法。

網(wǎng)絡(luò)彈性的概念應(yīng)運(yùn)而生

技術(shù)發(fā)展驅(qū)動(dòng)網(wǎng)絡(luò)安全策略演變

網(wǎng)絡(luò)空間的日益復(fù)雜是由多種因素共同作用的結(jié)果。這些因素放大了風(fēng)險(xiǎn)，挑戰(zhàn)了傳統(tǒng)的防御措施。這些因素包括：

• 新興技術(shù)：人工智能、物聯(lián)網(wǎng)(IoT)和量子計(jì)算正在迅速發(fā)展，帶來創(chuàng)新，但也引入了傳統(tǒng)防御措施可能無法解決的新漏洞；
• 地緣政治緊張局勢：由全球沖突驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊，針對經(jīng)濟(jì)和公眾信任；
• 供應(yīng)鏈漏洞：現(xiàn)代供應(yīng)鏈的復(fù)雜性意味著單一漏洞就可能導(dǎo)致廣泛的問題。
• 監(jiān)管混亂：不同國家的不同規(guī)則使合規(guī)變得困難；
• 人力短缺：沒有足夠的訓(xùn)練有素的網(wǎng)絡(luò)安全專業(yè)人員來應(yīng)對日益增長的網(wǎng)絡(luò)威脅，這需要組織考慮提升現(xiàn)有員工的技能或投資教育項(xiàng)目。

技術(shù)創(chuàng)新的速度往往都會超越法規(guī)和政策的完善，使得網(wǎng)絡(luò)安全威脅行為者有機(jī)會迅速發(fā)展。隨著大規(guī)模數(shù)字化轉(zhuǎn)型的推進(jìn)，人工智能、量子計(jì)算和物聯(lián)網(wǎng)等新興技術(shù)的引入進(jìn)一步加劇了這些挑戰(zhàn)。

可見，創(chuàng)新帶來了巨大的機(jī)遇，但也引入了在網(wǎng)絡(luò)安全策略中必須解決的新漏洞。這需要從傳統(tǒng)的"安全設(shè)計(jì)"方法轉(zhuǎn)變?yōu)楦娴?彈性設(shè)計(jì)"策略。

網(wǎng)絡(luò)攻擊的頻率和復(fù)雜程度不斷上升，對數(shù)據(jù)等無形資產(chǎn)構(gòu)成重大威脅。此外，很多攻擊針對關(guān)鍵基礎(chǔ)設(shè)施、醫(yī)療保健和基本服務(wù)，影響社區(qū)和整體經(jīng)濟(jì)，破壞社會穩(wěn)定。

因此，通過標(biāo)準(zhǔn)化框架和有效治理將網(wǎng)絡(luò)安全納入環(huán)境、社會和治理(ESG)策略，可以增強(qiáng)組織的彈性，保護(hù)利益相關(guān)者的價(jià)值，并有助于更廣泛的社會穩(wěn)定。

系統(tǒng)思維解決網(wǎng)絡(luò)風(fēng)險(xiǎn)

"系統(tǒng)思維"來解決網(wǎng)絡(luò)風(fēng)險(xiǎn)成為一個(gè)必然趨勢。這種方法研究我們所監(jiān)管的所有系統(tǒng)在更大范圍內(nèi)如何相互作用，發(fā)掘有價(jià)值的見解來量化和緩解網(wǎng)絡(luò)風(fēng)險(xiǎn)；鼓勵(lì)范式轉(zhuǎn)變，重新思考傳統(tǒng)的風(fēng)險(xiǎn)管理實(shí)踐，強(qiáng)調(diào)需要更加綜合和全面的方法。

網(wǎng)絡(luò)彈性不僅僅是一套技術(shù)或流程，它是一種思維方式的轉(zhuǎn)變。它要求我們從被動(dòng)的防御轉(zhuǎn)向主動(dòng)的適應(yīng)，從孤立的解決方案轉(zhuǎn)向全面的系統(tǒng)思考。它意味著要建立一個(gè)能夠預(yù)測、防范和快速從網(wǎng)絡(luò)攻擊中恢復(fù)的組織。

不斷演變和日益復(fù)雜的網(wǎng)絡(luò)風(fēng)險(xiǎn)提高了人們對網(wǎng)絡(luò)安全的認(rèn)識和期望。如今，企業(yè)正在根據(jù)他們的準(zhǔn)備情況、恢復(fù)能力以及應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)的有效性進(jìn)行評估。

此外，了解企業(yè)在市場和行業(yè)層面的披露義務(wù)至關(guān)重要。監(jiān)管機(jī)構(gòu)和投資者要求董事會通過強(qiáng)有力的治理來優(yōu)先考慮網(wǎng)絡(luò)安全。有效的治理對于降低風(fēng)險(xiǎn)、應(yīng)對事件和展示準(zhǔn)備情況至關(guān)重要。

例如，SEC提議的上市公司網(wǎng)絡(luò)安全披露要求中，將增加董事會對網(wǎng)絡(luò)風(fēng)險(xiǎn)的問責(zé)制。此外，新規(guī)定要求在四天內(nèi)報(bào)告重大事件，這需要公司快速評估事件的全面影響。

為了滿足這些嚴(yán)格的要求并避免監(jiān)管出發(fā)，董事會必須做好充分準(zhǔn)備，并在事件發(fā)生之前了解其網(wǎng)絡(luò)風(fēng)險(xiǎn)和潛在的財(cái)務(wù)影響。這要求董事會討論如何在其業(yè)務(wù)戰(zhàn)略、風(fēng)險(xiǎn)管理和財(cái)務(wù)監(jiān)督中考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

即使在SEC準(zhǔn)則不適用的國家，董事會仍有責(zé)任進(jìn)行適當(dāng)?shù)谋M職調(diào)查，以做出明智的決策，展示準(zhǔn)備情況并履行其治理義務(wù)。

因此，各方對透明度和問責(zé)制的要求增加，加上股東越來越多地要求了解高管管理層如何通過合理投資和適當(dāng)?shù)陌踩顿Y回報(bào)來降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，進(jìn)一步凸顯了董事會角色的重要性。 

他們現(xiàn)在在有效監(jiān)督網(wǎng)絡(luò)風(fēng)險(xiǎn)和識別預(yù)算中不必要的支出方面發(fā)揮著關(guān)鍵作用，特別是當(dāng)網(wǎng)絡(luò)風(fēng)險(xiǎn)對高管管理層不可見時(shí)。

獨(dú)立于CIO的CISO角色形成

在此背景下，首席信息安全官(CISO)不斷擴(kuò)大的角色對于彌合技術(shù)和業(yè)務(wù)方面的鴻溝，以及通過建立統(tǒng)一的通用語言(通過量化網(wǎng)絡(luò)風(fēng)險(xiǎn))將高管管理層與董事會聯(lián)系起來變得至關(guān)重要。

由于快速的數(shù)字化轉(zhuǎn)型和相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，擁有一個(gè)獨(dú)立于首席信息官(CIO)的專門CISO已經(jīng)不可或缺。

CISO的角色已經(jīng)發(fā)展到將網(wǎng)絡(luò)安全視為一個(gè)戰(zhàn)略和業(yè)務(wù)風(fēng)險(xiǎn)，而不僅僅是一個(gè)IT問題。這一轉(zhuǎn)變要求CISO具備技術(shù)專長和強(qiáng)大的溝通技巧，使他們能夠彌合技術(shù)領(lǐng)導(dǎo)者和業(yè)務(wù)領(lǐng)導(dǎo)者之間的鴻溝。

CISO應(yīng)該利用預(yù)測分析或基于人工智能的威脅檢測工具來主動(dòng)管理新出現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。他們必須能夠?qū)?fù)雜的網(wǎng)絡(luò)風(fēng)險(xiǎn)轉(zhuǎn)化為高管和董事會可以理解的業(yè)務(wù)和財(cái)務(wù)術(shù)語，確保網(wǎng)絡(luò)安全被視為戰(zhàn)略投資而不是運(yùn)營成本。

為了確保能夠CISO取得預(yù)期成果，網(wǎng)絡(luò)安全應(yīng)該是董事會會議中一個(gè)一致的主題，定期向董事會更新情境化的網(wǎng)絡(luò)風(fēng)險(xiǎn)格局，以及降低風(fēng)險(xiǎn)所需的投資。董事會應(yīng)該準(zhǔn)備好就網(wǎng)絡(luò)安全戰(zhàn)略提出相關(guān)問題。

此外，董事會必須形成一種文化。在這種文化中，網(wǎng)絡(luò)安全是量化和優(yōu)先考慮的，不會被相互競爭的利益所掩蓋，并被視為一項(xiàng)投資而不是成本。雖然CISO負(fù)責(zé)設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全計(jì)劃，但董事會要確保高管管理層能夠制定和執(zhí)行戰(zhàn)略。

CISO必須意識到，傳統(tǒng)的風(fēng)險(xiǎn)管理方法已被證明不足以應(yīng)對不斷變化的網(wǎng)絡(luò)風(fēng)險(xiǎn)的動(dòng)態(tài)特性。傳統(tǒng)方法通常是被動(dòng)的，側(cè)重于緩解已知威脅，往往依賴歷史數(shù)據(jù)，而沒有充分考慮新出現(xiàn)的威脅和攻擊途徑。實(shí)體沒有預(yù)測和預(yù)見新風(fēng)險(xiǎn)，而是容易受到利用這些盲點(diǎn)的復(fù)雜網(wǎng)絡(luò)攻擊的影響。這限制了此類方法在應(yīng)對不斷變化的網(wǎng)絡(luò)威脅環(huán)境方面的有效性。

CISO必須承認(rèn)傳統(tǒng)風(fēng)險(xiǎn)管理的不足，并采用更加動(dòng)態(tài)和綜合的方法，如FAIR方法。因此，利用數(shù)據(jù)分析和建模技術(shù)，組織可以用財(cái)務(wù)術(shù)語衡量、量化和優(yōu)先考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)，從而實(shí)現(xiàn)主動(dòng)和系統(tǒng)的方法來預(yù)測、預(yù)報(bào)和緩解潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

這種方法促進(jìn)了對網(wǎng)絡(luò)安全更加綜合和全面的看法，使其與整體業(yè)務(wù)目標(biāo)保持一致，并確保強(qiáng)大的安全態(tài)勢。

有幾個(gè)關(guān)鍵的推動(dòng)因素可以提高網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的有效性。這些包括：

• 威脅建模
• 蒙特卡洛模擬：一種用于模擬復(fù)雜系統(tǒng)中不同結(jié)果概率的統(tǒng)計(jì)方法
• 風(fēng)險(xiǎn)價(jià)值(VaR)：一種用于估計(jì)網(wǎng)絡(luò)安全事件中潛在財(cái)務(wù)損失的技術(shù)
• 價(jià)值鏈分析，幫助組織全面了解潛在影響，優(yōu)先考慮安全工作并有效分配資源

這些方法可以做出明智的決策并改善安全性。反過來，這突出了系統(tǒng)思維的必要性。如果沒有這種整合，安全態(tài)勢中就會出現(xiàn)漏洞，導(dǎo)致安全事件發(fā)生時(shí)響應(yīng)時(shí)間緩慢。

值得一提的是，職責(zé)的擴(kuò)大也對CSO的溝通能力與領(lǐng)導(dǎo)力提出了新的需求：一方面要提高向不同利益相關(guān)者闡明復(fù)雜安全概念的技能；另一方面要制定策略，帶領(lǐng)團(tuán)隊(duì)?wèi)?yīng)對高壓情況，確?？焖儆行У氖录憫?yīng)。

擁抱主動(dòng)的網(wǎng)絡(luò)彈性

為了進(jìn)一步加強(qiáng)組織的網(wǎng)絡(luò)安全實(shí)踐，關(guān)鍵是要采用主動(dòng)措施，如制定和測試網(wǎng)絡(luò)事件響應(yīng)計(jì)劃。這對于遏制和最小化網(wǎng)絡(luò)攻擊的影響至關(guān)重要。

一個(gè)定義明確的計(jì)劃概述了事件發(fā)生期間和之后所要采取的步驟，確保無縫和有效的響應(yīng)。定期演練和模擬有助于完善計(jì)劃，使團(tuán)隊(duì)為現(xiàn)實(shí)場景做好準(zhǔn)備。

將威脅情報(bào)整合到事件響應(yīng)過程中，可以確保組織能夠持續(xù)提高及時(shí)檢測和響應(yīng)威脅的能力。研究現(xiàn)實(shí)世界中的事件為有效的網(wǎng)絡(luò)安全實(shí)踐提供了寶貴的見解。

從監(jiān)管的角度來看，嚴(yán)格遵守本地和國際網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)對于維護(hù)數(shù)字信任、公眾信心和避免法律后果至關(guān)重要。

確保遵守這些法規(guī)意味著組織滿足最高的安全要求，堅(jiān)持最高的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，無論其地理位置如何。這將減少安全漏洞的可能性，最大限度地減少潛在的財(cái)務(wù)損失和聲譽(yù)損害。

在不斷變化的網(wǎng)絡(luò)威脅環(huán)境中，構(gòu)建一個(gè)有彈性的網(wǎng)絡(luò)生態(tài)系統(tǒng)是必要的。這需要各方的共同努力，包括組織、供應(yīng)商和行業(yè)監(jiān)管機(jī)構(gòu)。

此外，組織必須充分了解與其供應(yīng)鏈和第三方關(guān)系相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，以有效地預(yù)測和緩解潛在的漏洞。當(dāng)一個(gè)組織與其供應(yīng)商、監(jiān)管機(jī)構(gòu)、政府機(jī)構(gòu)和行業(yè)同行保持一致時(shí)，就會創(chuàng)造一個(gè)更有彈性的數(shù)字環(huán)境。

相反，如果一個(gè)組織的合作伙伴很脆弱，那么它就不可能真正具有彈性。這些驅(qū)動(dòng)因素和推動(dòng)因素共同為一個(gè)有彈性的網(wǎng)絡(luò)生態(tài)系統(tǒng)奠定了堅(jiān)實(shí)的基礎(chǔ)。然而，許多組織仍然難以充分了解其供應(yīng)鏈中的網(wǎng)絡(luò)漏洞。組織必須加強(qiáng)對供應(yīng)鏈漏洞的監(jiān)控和可見性，包括所有第三方供應(yīng)商和合作伙伴的網(wǎng)絡(luò)安全狀況。

如果不能供應(yīng)鏈合作伙伴內(nèi)建立通用實(shí)踐，從而確保一致的安全實(shí)踐和統(tǒng)一的事件響應(yīng)協(xié)議，就無法實(shí)現(xiàn)這一點(diǎn)。這種方法創(chuàng)造了一個(gè)更強(qiáng)大、更有彈性的供應(yīng)鏈。

構(gòu)建一個(gè)有彈性和可持續(xù)的網(wǎng)絡(luò)空間需要一種適應(yīng)性強(qiáng)、主動(dòng)的方法。網(wǎng)絡(luò)安全是一個(gè)共同的責(zé)任，必須不斷投資和發(fā)展，以強(qiáng)有力的治理、風(fēng)險(xiǎn)管理和跨部門合作為基石。

我們需要從一種將安全視為負(fù)擔(dān)的以IT為中心的心態(tài)轉(zhuǎn)變?yōu)橐环N更全面的觀點(diǎn)，將安全視為對整個(gè)生態(tài)系統(tǒng)安全做出貢獻(xiàn)的戰(zhàn)略投資。

這種轉(zhuǎn)變需要強(qiáng)有力的治理，采用全面和適應(yīng)性強(qiáng)的風(fēng)險(xiǎn)管理策略，進(jìn)行定期風(fēng)險(xiǎn)評估，更加關(guān)注量化風(fēng)險(xiǎn)，實(shí)施強(qiáng)有力的事件響應(yīng)計(jì)劃，并確保復(fù)雜性和不確定性得到很好的管理，特別是在我們?nèi)找婊ヂ?lián)的數(shù)字世界中。

與此同時(shí)，構(gòu)建網(wǎng)絡(luò)彈性是一個(gè)持續(xù)不斷的過程，需要組織上下的共同努力和不懈堅(jiān)持。這不僅僅是IT部門的責(zé)任，而是需要每個(gè)員工都參與其中。