數(shù)據(jù)泄露、勒索軟件以及其他類型的網(wǎng)絡(luò)攻擊行為，已經(jīng)為全球各地的企業(yè)造成了不可估量的損害，例如，無法挽回的聲譽(yù)損失（如Equifax）、收并購價格的大幅縮水（如雅虎）亦或是全球范圍內(nèi)的業(yè)務(wù)中斷（如NotPetya勒索軟件受害者）等。

不過好消息是，日益嚴(yán)峻的威脅場景也順利地將網(wǎng)絡(luò)安全問題從服務(wù)器機(jī)房推到了董事會的關(guān)注議程中。

此外，為了進(jìn)一步推動企業(yè)對網(wǎng)絡(luò)安全問題的關(guān)注，監(jiān)管機(jī)構(gòu)也正在積極推動網(wǎng)絡(luò)安全議程，并對未及時修復(fù)安全漏洞和未能保護(hù)客戶數(shù)據(jù)的企業(yè)采取更為嚴(yán)厲和強(qiáng)硬的態(tài)度。例如，根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）規(guī)定，公司必須在72小時內(nèi)向當(dāng)局報告任何違反個人數(shù)據(jù)的行為，如果未能遵守，將面臨高達(dá) 2000萬歐元或 4%年?duì)I業(yè)額的罰款（取較高者）。

可以這樣說，如今，網(wǎng)絡(luò)安全風(fēng)險已經(jīng)等同于整個企業(yè)業(yè)務(wù)風(fēng)險。一旦企業(yè)遭受網(wǎng)絡(luò)攻擊，必然會對其整體業(yè)務(wù)造成無可估量的影響，不僅業(yè)務(wù)能否正常開展成為問題，還要為此承受沉重的經(jīng)濟(jì)損失（包括罰款、事件響應(yīng)及修復(fù)成本、業(yè)務(wù)中斷損失、客戶補(bǔ)償?shù)鹊龋?/span>

對于首席信息安全官和其他網(wǎng)絡(luò)安全專業(yè)人員來說，網(wǎng)絡(luò)安全問題成功升級至董事會議程，也可以幫助他們在董事會和C級高管會議中獲取一定的話語權(quán)，并獲得他們想要的資源和支持。不過，對于那些尚未做好準(zhǔn)備的信息安全專業(yè)人士而言，董事會對網(wǎng)絡(luò)安全問題的重視將為他們造成不少的負(fù)擔(dān)。試想一下，作為信息安全專業(yè)人士的你，現(xiàn)在已經(jīng)成功取得了公司高層的關(guān)注，但是，你能有效地與他們進(jìn)行溝通嗎？你有能力成為一名“業(yè)務(wù)一致型”（business-aligned）的首席信息安全官嗎？

現(xiàn)在，讓我們站在企業(yè)C級高管和董事會的角度來思考這個問題，看看網(wǎng)絡(luò)風(fēng)險對于他們究竟意味著什么：

首先，他們認(rèn)為網(wǎng)絡(luò)風(fēng)險只是開展業(yè)務(wù)的另一項(xiàng)成本，而且他們正在關(guān)注許多企業(yè)正在面臨的網(wǎng)絡(luò)風(fēng)險。網(wǎng)絡(luò)安全并不是一個特殊的“臭鼬工廠”（SkunkWorks，借指擔(dān)任秘密研究計劃的地方）。當(dāng)然，它是一個需要大量技術(shù)專長的領(lǐng)域，但運(yùn)營、財務(wù)以及其他業(yè)務(wù)部門也是如此。

其次，他們習(xí)慣將風(fēng)險呈現(xiàn)為金錢概念的“損失風(fēng)險”。無論是市場風(fēng)險、信用風(fēng)險還是企業(yè)風(fēng)險管理的其他組成部分，其他業(yè)務(wù)部門都能將這些風(fēng)險可能造成的損失換算成一連串美元金額。通過這些數(shù)字，決策者可以設(shè)定“風(fēng)險偏好”，即自己能夠承受的“損失風(fēng)險”程度，并通過一系列舉措來控制這些“損失數(shù)字”，例如投入更多控制措施，購買保險等等。

現(xiàn)在，再讓我們站在信息安全團(tuán)隊(duì)的角度來看這個問題，得到的觀點(diǎn)可能會完全不同。

事實(shí)上，信息安全專業(yè)人員的觀點(diǎn)通常是“以IT為中心”而非“以業(yè)務(wù)為導(dǎo)向”的觀點(diǎn)。在他們看來，網(wǎng)絡(luò)安全風(fēng)險可以通過成熟度評級來完成：例如，與IT行業(yè)最佳實(shí)踐清單進(jìn)行對比——假設(shè)“達(dá)標(biāo)”的條件越多便意味著風(fēng)險越低；或是與IT行業(yè)其他人在安全方面的花費(fèi)進(jìn)行對比——假設(shè)花費(fèi)更多的便意味著風(fēng)險更低。一些風(fēng)險評級甚至可能基于信息風(fēng)險團(tuán)隊(duì)的直覺/經(jīng)驗(yàn)——這些評級通常被標(biāo)記為“中等”、“高/低危”，或是被稱為“補(bǔ)丁”、“漏洞”或IT以外的人所不理解的其他術(shù)語。

很顯然，這些專業(yè)性過強(qiáng)的評級，都不是與高級管理層或董事會進(jìn)行有效溝通的合適工具，因?yàn)樗麄儧]有按照其他業(yè)務(wù)部門能夠理解的方式來談?wù)擄L(fēng)險。

一些網(wǎng)絡(luò)安全專家仍然堅(jiān)持，從財務(wù)角度來衡量網(wǎng)絡(luò)風(fēng)險是不可能的。但目前，這種堅(jiān)硬的態(tài)度正在日漸消退。最近，全球分析公司Gartner就將“風(fēng)險量化”列為其“運(yùn)營綜合網(wǎng)絡(luò)風(fēng)險管理計劃的5大必備條件”之一。

衡量和量化風(fēng)險的一種方法就是使用標(biāo)準(zhǔn)的信息風(fēng)險因子分析（Factor Analysis of Information Risk，簡稱FAIR）模型，該模型主要以財務(wù)術(shù)語來評估信息風(fēng)險。這種方法可以通過從公司和行業(yè)來源收集有關(guān)網(wǎng)絡(luò)安全事件的數(shù)據(jù)，然后將不同類型的風(fēng)險呈現(xiàn)為相應(yīng)的財務(wù)價值；同時，它也可以通過Monte Carlo模擬引擎運(yùn)行數(shù)據(jù)，再以財務(wù)形式生成損失風(fēng)險值。

就信息風(fēng)險因子分析（FAIR）模型而言，風(fēng)險是未來損失的可能程度和可能頻率。等式的兩邊（即程度和頻率）都很重要。高程度且低頻率的可能是低風(fēng)險；高頻率且低程度的可能會是高風(fēng)險。

想要將業(yè)務(wù)與損失風(fēng)險條款中的網(wǎng)絡(luò)風(fēng)險保持一致的話，您需要采取下述一些步驟。

1. 了解業(yè)務(wù)的最大收益在哪里，以及它是如何創(chuàng)造出最大價值的；進(jìn)而了解在網(wǎng)絡(luò)攻擊事件中遭受財務(wù)影響最嚴(yán)重的地方是哪里。

通常來說，電子商務(wù)的業(yè)務(wù)中斷，計劃、設(shè)計或其他知識產(chǎn)權(quán)被盜、從數(shù)據(jù)庫中泄露機(jī)密的客戶信息，這些都會導(dǎo)致銷售損失、市場份額損失、法律費(fèi)用、勞動力成本等等。事實(shí)上，只需通過詢問您的財務(wù)、人力資源、法律或運(yùn)營部門，或是通過行業(yè)報告進(jìn)行擴(kuò)充，這些損失都是可以量化的。

2. 了解造成損失的可能性網(wǎng)絡(luò)事件的類型和發(fā)生頻率。

您的安全運(yùn)營中心（SOC）或記錄網(wǎng)絡(luò)故障的部門將幫助您了解這些歷史網(wǎng)絡(luò)攻擊事件發(fā)生的事件和地點(diǎn)。將這些信息與威脅情報供應(yīng)商和行業(yè)報告（如Verizon數(shù)據(jù)泄露調(diào)查報告）相結(jié)合，將為您的企業(yè)提供有關(guān)未來網(wǎng)絡(luò)攻擊的相關(guān)預(yù)測和建議。