網路風險=業務風險 “基於業務的CISO”時代正在到來!
資料洩露、勒索軟體以及其他型別的網路攻擊行為,已經為全球各地的企業造成了不可估量的損害,例如,無法挽回的聲譽損失(如Equifax)、收併購價格的大幅縮水(如雅虎)亦或是全球範圍內的業務中斷(如NotPetya勒索軟體受害者)等。
不過好訊息是,日益嚴峻的威脅場景也順利地將網路安全問題從伺服器機房推到了董事會的關注議程中。
此外,為了進一步推動企業對網路安全問題的關注,監管機構也正在積極推動網路安全議程,並對未及時修復安全漏洞和未能保護客戶資料的企業採取更為嚴厲和強硬的態度。例如,根據歐盟《通用資料保護條例》(GDPR)規定,公司必須在 72小時內 向當局報告任何違反個人資料的行為,如果未能遵守,將面臨高達 2000萬歐元 或 4% 年營業額的罰款(取較高者)。
可以這樣說, 如今,網路安全風險已經等同於整個企業業務風險 。一旦企業遭受網路攻擊,必然會對其整體業務造成無可估量的影響,不僅業務能否正常開展成為問題,還要為此承受沉重的經濟損失(包括罰款、事件響應及修復成本、業務中斷損失、客戶補償等等)。
對於首席資訊保安官和其他網路安全專業人員來說,網路安全問題成功升級至董事會議程,也可以幫助他們在董事會和C級高管會議中獲取一定的話語權,並獲得他們想要的資源和支援。不過,對於那些尚未做好準備的資訊保安專業人士而言,董事會對網路安全問題的重視將為他們造成不少的負擔。試想一下,作為資訊保安專業人士的你,現在已經成功取得了公司高層的關注,但是,你能有效地與他們進行溝通嗎?你有能力成為一名“業務一致型”(business-aligned)的首席資訊保安官嗎?
現在,讓我們站在企業C級高管和董事會的角度來思考這個問題,看看網路風險對於他們究竟意味著什麼:
首先,他們認為網路風險只是開展業務的另一項成本,而且他們正在關注許多企業正在面臨的網路風險。網路安全並不是一個特殊的“臭鼬工廠”(SkunkWorks,借指擔任祕密研究計劃的地方)。當然,它是一個需要大量技術專長的領域,但運營、財務以及其他業務部門也是如此。
其次,他們習慣將風險呈現為金錢概念的“損失風險”。無論是市場風險、信用風險還是企業風險管理的其他組成部分,其他業務部門都能將這些風險可能造成的損失換算成一連串美元金額。通過這些數字,決策者可以設定“風險偏好”,即自己能夠承受的“損失風險”程度,並通過一系列舉措來控制這些“損失數字”,例如投入更多控制措施,購買保險等等。
現在,再讓我們站在資訊保安團隊的角度來看這個問題,得到的觀點可能會完全不同。
事實上,資訊保安專業人員的觀點通常是“以IT為中心”而非“以業務為導向”的觀點。在他們看來,網路安全風險可以通過成熟度評級來完成:例如,與IT行業最佳實踐清單進行對比——假設“達標”的條件越多便意味著風險越低;或是與IT行業其他人在安全方面的花費進行對比——假設花費更多的便意味著風險更低。一些風險評級甚至可能基於資訊風險團隊的直覺/經驗——這些評級通常被標記為“中等”、“高/低危”,或是被稱為“補丁”、“漏洞”或IT以外的人所不理解的其他術語。
很顯然,這些專業性過強的評級,都不是與高階管理層或董事會進行有效溝通的合適工具,因為他們沒有按照其他業務部門能夠理解的方式來談論風險。
一些網路安全專家仍然堅持,從財務角度來衡量網路風險是不可能的。但目前,這種堅硬的態度正在日漸消退。最近, 全球分析公司Gartner就將“風險量化”列為其“運營綜合網路風險管理計劃的5大必備條件”之一。
衡量和量化風險的一種方法就是使用標準的資訊風險因子分析(Factor Analysis of Information Risk,簡稱FAIR)模型,該模型主要以財務術語來評估資訊風險。這種方法可以通過從公司和行業來源收集有關網路安全事件的資料,然後將不同型別的風險呈現為相應的財務價值;同時,它也可以通過Monte Carlo模擬引擎執行資料,再以財務形式生成損失風險值。
就資訊風險因子分析(FAIR)模型而言,風險是未來損失的可能程度和可能頻率。等式的兩邊(即程度和頻率)都很重要。高程度且低頻率的可能是低風險;高頻率且低程度的可能會是高風險。
想要將業務與損失風險條款中的網路風險保持一致的話,您需要採取下述一些步驟。
1. 瞭解業務的最大收益在哪裡,以及它是如何創造出最大價值的;進而瞭解在網路攻擊事件中遭受財務影響最嚴重的地方是哪裡。
通常來說,電子商務的業務中斷,計劃、設計或其他智慧財產權被盜、從資料庫中洩露機密的客戶資訊,這些都會導致銷售損失、市場份額損失、法律費用、勞動力成本等等。事實上,只需通過詢問您的財務、人力資源、法律或運營部門,或是通過行業報告進行擴充,這些損失都是可以量化的。
2. 瞭解造成損失的可能性網路事件的型別和發生頻率。
您的安全運營中心(SOC)或記錄網路故障的部門將幫助您瞭解這些歷史網路攻擊事件發生的事件和地點。將這些資訊與威脅情報供應商和行業報告(如Verizon資料洩露調查報告)相結合,將為您的企業提供有關未來網路攻擊的相關預測和建議。
相關閱讀
ofollow,noindex">CISO元素週期表