CISO們:歡迎進入網路風險經濟時代!
曾經有一段時間,首席資訊保安官在與董事會和高階管理層的每次談話之中,總能自帶“神祕的”主角光環,因為他們如同技術領域的高階牧師,除專業IT人員之外,幾乎無人能夠真正理解其教義,故而總是為人留下神祕、權威的印象。
然而,一個流傳於圈內的玩笑卻是,他們所營造的這種形象不過是通過FUD(即恐懼、不確定和懷疑),來贏取預算。除此之外,一些帶有極具警醒作用的紅色區域的熱圖(heat map)也能起到很好的視覺輔助作用,加劇受眾的恐懼、不確定和懷疑情緒。
進入到合規時代後,首席資訊保安官開始擁有了一些行業許可的,甚至政府批准的標準,如美國國家標準技術研究所(NIST)的《網路安全框架》(簡稱 NIST CSF)等。去年,美國總統特朗普簽署網路安全行政命令,要求美國政府機構利用NIST CSF框架推行資料保護和風險管理。這框架不僅適用於美國本土的政府機構,全球企業的網路安全從業者也可參考該框架及使用其指引,為自己的機構定立網路安全的最佳作業守則。
NIST CSF框架包括五個核心功能,分別為識別(Identify)、保護(Protect)、檢測(Detect)、響應(Respond)以及恢復(Recover),為識別風險、防範及檢測威脅,以及應對網路安全事故和事後修復,提供了全面的路線圖。
最近,一些供應商也已經開始提供CISO安全“計分卡”,用於計算成熟度等級,漏洞,威脅問題,修復歷史紀錄以及其他指標等,以進一步提升數字安全等級。
如今,我們已經進入了新的時代。近年來,我們目睹了許多惡意軟體成功癱瘓了全球關鍵企業的運作,為其收益帶來了沉重的打擊;資料洩露也為上市企業的股價帶來了嚴重的折損。為此,全球政府監管機構——美國證券交易委員會(SEC)、紐約財務部以及歐盟等,都正在通過類似歐盟《通用資料保護法案》(GDPR)之類的法規來不斷加強對私營企業網路活動的監管,旨在創造更好、更有效的資料管理和披露環境。
無數的事實證明,全球各個行業的企業都在面臨數字中斷危機——從自動駕駛汽車和物聯網到比特幣,他們也正試圖探索新方法來權衡這種風險和回報之間的關係。
這些都是董事會會議和C級高管的關注重點,從他們的角度來看,網路風險已經上升到企業風險的水平——他們希望CISO們能夠以企業其他部門所能理解的術語來衡量、管理和上報風險狀況,即從財務角度來說明風險的可能性和潛在成本。
這種需求對於標準的CISO通訊工具包而言是一個挑戰,因為它未能真正地傳達業務風險。充其量,它只是含蓄地說明了風險情況——如果我們的CISO安全“計分卡”上的數值越低,說明我們面臨的風險越多,對吧?如果我們想要花費更多在控制舉措上來增加安全得分數值,就意味著必須降低安全風險,是這樣沒錯吧?
不要奢望慣用晦澀難懂術語的CISO能夠以財務形式明確告知你風險等級,也不要指望他們來幫助你解決正在面臨的棘手問題,例如:
- 如果我們的網路風險達到對公司財務產生重大影響的水平,我應該如何向監管機構進行披露?
- 具備安全內容的任何主要網路專案(例如將業務遷移到雲端,或加固和保護我們的關鍵智慧財產權)的投資回報率是多少?
隱藏在行業用語背後的資訊已經不再適用,業界對於CISO的期望也已經發生了變化。CISO們,歡迎進入網路風險經濟時代!
好訊息是,作為CISO,您在組織中的地位會得到進一步鞏固,因為這是一場需要首席資訊保安官主導的“遊戲”,不同以往的是,它 還需要CISO將網路風險更廣泛地與企業業務風險結合在一起,以幫助企業安全部門和業務部門更好地協同工作,在理解彼此需求的基礎上更有效地提升企業網路安全水平 。
協調網路風險和業務風險的想法很好,但是應該從何處著手呢?
答案就是採用標準的資訊風險因子分析(Factor Analysis of Information Risk,簡稱FAIR)模型,該模型主要以財務術語來評估資訊風險。這種方法可以通過從公司和行業來源收集有關網路安全事件的資料,然後將不同型別的風險呈現為相應的財務價值;同時,它也可以通過Monte Carlo模擬引擎執行資料,再以財務形式生成損失風險值。
儘管名字叫做“資訊風險因子分析”(FAIR),但是其更多的是考慮風險問題,而不是另一種形式的數字計分卡。目前,許多資訊保安團隊正在使用FAIR。
正如FAIR標準風險概念所言,想要將業務與損失風險條款中的網路風險保持一致的話,您需要採取下述一些步驟:
首先,瞭解業務的最大收益在哪裡,以及它是如何創造出最大價值的;進而瞭解在網路攻擊事件中遭受財務影響最嚴重的地方是哪裡。通常來說,電子商務的業務中斷,計劃、設計或其他智慧財產權被盜、從資料庫中洩露機密的客戶資訊,這些都會導致銷售損失、市場份額損失、法律費用、勞動力成本等等。事實上,只需通過詢問您的財務、人力資源、法律或運營部門,或是通過行業報告進行擴充,這些損失都是可以量化的。
其次,瞭解造成損失的可能性網路事件的型別和發生頻率。您的安全運營中心(SOC)或記錄網路故障的部門將幫助您瞭解這些歷史網路攻擊事件發生的事件和地點。將這些資訊與威脅情報供應商和行業報告(如Verizon資料洩露調查報告)相結合,將為您的企業提供有關未來網路攻擊的相關預測和建議。
可以說,“漏洞”並不是風險,“勒索軟體”以及“雲”也都不是風險。我想,肯定不止你一人有這樣的疑問:這些聽起來都像風險列表中羅列的風險專案,卻為什麼不能稱為“風險”呢?
因為它們都只是導致風險的因素,但它們本身並不是風險/損失事件。許多團隊都通過核對並清理風險列表,並讓每個人都專注於可能導致其組織真正損失的可能性事件,來開始實施FAIR。他們會持續優先考慮這些風險,然後使用FAIR驅動的軟體來執行分析,以瞭解哪些控制措施在降低安全風險方面發揮了實際作用。當董事會或C級管理者想要了解新威脅所產生的影響,或是與新專案相關的風險(如將關鍵應用程式遷移到雲端)時,CISO們就可以使用FAIR驅動的軟體所具備的分析能力和應用程式,快速地反饋一系列方案,將風險選擇更為清晰地呈現給決策者。
這是一場不斷髮展演進的運動,我認為,在這個對首席資訊保安官的期望日趨加劇的時代,這種運動是一種非常有益的存在。