網絡風險=業務風險 “基于業務的CISO”時代正在到來!
責編:gltian |2018-09-13 10:06:49數據泄露、勒索軟件以及其他類型的網絡攻擊行為,已經為全球各地的企業造成了不可估量的損害,例如,無法挽回的聲譽損失(如Equifax)、收并購價格的大幅縮水(如雅虎)亦或是全球范圍內的業務中斷(如NotPetya勒索軟件受害者)等。
不過好消息是,日益嚴峻的威脅場景也順利地將網絡安全問題從服務器機房推到了董事會的關注議程中。
此外,為了進一步推動企業對網絡安全問題的關注,監管機構也正在積極推動網絡安全議程,并對未及時修復安全漏洞和未能保護客戶數據的企業采取更為嚴厲和強硬的態度。例如,根據歐盟《通用數據保護條例》(GDPR)規定,公司必須在72小時內向當局報告任何違反個人數據的行為,如果未能遵守,將面臨高達 2000萬歐元或 4%年營業額的罰款(取較高者)。
可以這樣說,如今,網絡安全風險已經等同于整個企業業務風險。一旦企業遭受網絡攻擊,必然會對其整體業務造成無可估量的影響,不僅業務能否正常開展成為問題,還要為此承受沉重的經濟損失(包括罰款、事件響應及修復成本、業務中斷損失、客戶補償等等)。
對于首席信息安全官和其他網絡安全專業人員來說,網絡安全問題成功升級至董事會議程,也可以幫助他們在董事會和C級高管會議中獲取一定的話語權,并獲得他們想要的資源和支持。不過,對于那些尚未做好準備的信息安全專業人士而言,董事會對網絡安全問題的重視將為他們造成不少的負擔。試想一下,作為信息安全專業人士的你,現在已經成功取得了公司高層的關注,但是,你能有效地與他們進行溝通嗎?你有能力成為一名“業務一致型”(business-aligned)的首席信息安全官嗎?
現在,讓我們站在企業C級高管和董事會的角度來思考這個問題,看看網絡風險對于他們究竟意味著什么:
首先,他們認為網絡風險只是開展業務的另一項成本,而且他們正在關注許多企業正在面臨的網絡風險。網絡安全并不是一個特殊的“臭鼬工廠”(SkunkWorks,借指擔任秘密研究計劃的地方)。當然,它是一個需要大量技術專長的領域,但運營、財務以及其他業務部門也是如此。
其次,他們習慣將風險呈現為金錢概念的“損失風險”。無論是市場風險、信用風險還是企業風險管理的其他組成部分,其他業務部門都能將這些風險可能造成的損失換算成一連串美元金額。通過這些數字,決策者可以設定“風險偏好”,即自己能夠承受的“損失風險”程度,并通過一系列舉措來控制這些“損失數字”,例如投入更多控制措施,購買保險等等。
現在,再讓我們站在信息安全團隊的角度來看這個問題,得到的觀點可能會完全不同。
事實上,信息安全專業人員的觀點通常是“以IT為中心”而非“以業務為導向”的觀點。在他們看來,網絡安全風險可以通過成熟度評級來完成:例如,與IT行業最佳實踐清單進行對比——假設“達標”的條件越多便意味著風險越低;或是與IT行業其他人在安全方面的花費進行對比——假設花費更多的便意味著風險更低。一些風險評級甚至可能基于信息風險團隊的直覺/經驗——這些評級通常被標記為“中等”、“高/低危”,或是被稱為“補丁”、“漏洞”或IT以外的人所不理解的其他術語。
很顯然,這些專業性過強的評級,都不是與高級管理層或董事會進行有效溝通的合適工具,因為他們沒有按照其他業務部門能夠理解的方式來談論風險。
一些網絡安全專家仍然堅持,從財務角度來衡量網絡風險是不可能的。但目前,這種堅硬的態度正在日漸消退。最近,全球分析公司Gartner就將“風險量化”列為其“運營綜合網絡風險管理計劃的5大必備條件”之一。
衡量和量化風險的一種方法就是使用標準的信息風險因子分析(Factor Analysis of Information Risk,簡稱FAIR)模型,該模型主要以財務術語來評估信息風險。這種方法可以通過從公司和行業來源收集有關網絡安全事件的數據,然后將不同類型的風險呈現為相應的財務價值;同時,它也可以通過Monte Carlo模擬引擎運行數據,再以財務形式生成損失風險值。
就信息風險因子分析(FAIR)模型而言,風險是未來損失的可能程度和可能頻率。等式的兩邊(即程度和頻率)都很重要。高程度且低頻率的可能是低風險;高頻率且低程度的可能會是高風險。
想要將業務與損失風險條款中的網絡風險保持一致的話,您需要采取下述一些步驟。
1. 了解業務的最大收益在哪里,以及它是如何創造出最大價值的;進而了解在網絡攻擊事件中遭受財務影響最嚴重的地方是哪里。
通常來說,電子商務的業務中斷,計劃、設計或其他知識產權被盜、從數據庫中泄露機密的客戶信息,這些都會導致銷售損失、市場份額損失、法律費用、勞動力成本等等。事實上,只需通過詢問您的財務、人力資源、法律或運營部門,或是通過行業報告進行擴充,這些損失都是可以量化的。
2. 了解造成損失的可能性網絡事件的類型和發生頻率。
您的安全運營中心(SOC)或記錄網絡故障的部門將幫助您了解這些歷史網絡攻擊事件發生的事件和地點。將這些信息與威脅情報供應商和行業報告(如Verizon數據泄露調查報告)相結合,將為您的企業提供有關未來網絡攻擊的相關預測和建議。