曾經(jīng)有一段時間����,首席信息安全官在與董事會和高級管理層的每次談話之中���,總能自帶“神秘的”主角光環(huán)�,因為他們?nèi)缤夹g(shù)領(lǐng)域的高級牧師�,除專業(yè)IT人員之外,幾乎無人能夠真正理解其教義��,故而總是為人留下神秘���、權(quán)威的印象���。
然而����,一個流傳于圈內(nèi)的玩笑卻是��,他們所營造的這種形象不過是通過FUD(即恐懼����、不確定和懷疑),來贏取預(yù)算����。除此之外����,一些帶有極具警醒作用的紅色區(qū)域的熱圖(heat map)也能起到很好的視覺輔助作用,加劇受眾的恐懼�、不確定和懷疑情緒。
進入到合規(guī)時代后�,首席信息安全官開始擁有了一些行業(yè)許可的,甚至政府批準(zhǔn)的標(biāo)準(zhǔn)����,如美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)的《網(wǎng)絡(luò)安全框架》(簡稱 NIST CSF)等����。去年����,美國總統(tǒng)特朗普簽署網(wǎng)絡(luò)安全行政命令,要求美國政府機構(gòu)利用NIST CSF框架推行數(shù)據(jù)保護和風(fēng)險管理�����。這框架不僅適用于美國本土的政府機構(gòu)�,全球企業(yè)的網(wǎng)絡(luò)安全從業(yè)者也可參考該框架及使用其指引,為自己的機構(gòu)定立網(wǎng)絡(luò)安全的最佳作業(yè)守則��。
NIST CSF框架包括五個核心功能�,分別為識別(Identify)、保護(Protect)��、檢測(Detect)�����、響應(yīng)(Respond)以及恢復(fù)(Recover)���,為識別風(fēng)險����、防范及檢測威脅,以及應(yīng)對網(wǎng)絡(luò)安全事故和事后修復(fù)��,提供了全面的路線圖�。
最近,一些供應(yīng)商也已經(jīng)開始提供CISO安全“計分卡”��,用于計算成熟度等級�,漏洞,威脅問題�����,修復(fù)歷史紀(jì)錄以及其他指標(biāo)等���,以進一步提升數(shù)字安全等級。
如今���,我們已經(jīng)進入了新的時代���。近年來,我們目睹了許多惡意軟件成功癱瘓了全球關(guān)鍵企業(yè)的運作���,為其收益帶來了沉重的打擊����;數(shù)據(jù)泄露也為上市企業(yè)的股價帶來了嚴(yán)重的折損。為此����,全球政府監(jiān)管機構(gòu)——美國證券交易委員會(SEC)、紐約財務(wù)部以及歐盟等����,都正在通過類似歐盟《通用數(shù)據(jù)保護法案》(GDPR)之類的法規(guī)來不斷加強對私營企業(yè)網(wǎng)絡(luò)活動的監(jiān)管,旨在創(chuàng)造更好�、更有效的數(shù)據(jù)管理和披露環(huán)境。
無數(shù)的事實證明���,全球各個行業(yè)的企業(yè)都在面臨數(shù)字中斷危機——從自動駕駛汽車和物聯(lián)網(wǎng)到比特幣���,他們也正試圖探索新方法來權(quán)衡這種風(fēng)險和回報之間的關(guān)系。
這些都是董事會會議和C級高管的關(guān)注重點�,從他們的角度來看,網(wǎng)絡(luò)風(fēng)險已經(jīng)上升到企業(yè)風(fēng)險的水平——他們希望CISO們能夠以企業(yè)其他部門所能理解的術(shù)語來衡量�����、管理和上報風(fēng)險狀況,即從財務(wù)角度來說明風(fēng)險的可能性和潛在成本�。
這種需求對于標(biāo)準(zhǔn)的CISO通信工具包而言是一個挑戰(zhàn),因為它未能真正地傳達業(yè)務(wù)風(fēng)險��。充其量����,它只是含蓄地說明了風(fēng)險情況——如果我們的CISO安全“計分卡”上的數(shù)值越低,說明我們面臨的風(fēng)險越多���,對吧�?如果我們想要花費更多在控制舉措上來增加安全得分?jǐn)?shù)值��,就意味著必須降低安全風(fēng)險�����,是這樣沒錯吧����?
不要奢望慣用晦澀難懂術(shù)語的CISO能夠以財務(wù)形式明確告知你風(fēng)險等級�,也不要指望他們來幫助你解決正在面臨的棘手問題,例如:
隱藏在行業(yè)用語背后的信息已經(jīng)不再適用��,業(yè)界對于CISO的期望也已經(jīng)發(fā)生了變化�。CISO們,歡迎進入網(wǎng)絡(luò)風(fēng)險經(jīng)濟時代�����!
好消息是���,作為CISO�,您在組織中的地位會得到進一步鞏固��,因為這是一場需要首席信息安全官主導(dǎo)的“游戲”��,不同以往的是����,它還需要CISO將網(wǎng)絡(luò)風(fēng)險更廣泛地與企業(yè)業(yè)務(wù)風(fēng)險結(jié)合在一起��,以幫助企業(yè)安全部門和業(yè)務(wù)部門更好地協(xié)同工作�����,在理解彼此需求的基礎(chǔ)上更有效地提升企業(yè)網(wǎng)絡(luò)安全水平����。
協(xié)調(diào)網(wǎng)絡(luò)風(fēng)險和業(yè)務(wù)風(fēng)險的想法很好���,但是應(yīng)該從何處著手呢�����?
答案就是采用標(biāo)準(zhǔn)的信息風(fēng)險因子分析(Factor Analysis of Information Risk����,簡稱FAIR)模型��,該模型主要以財務(wù)術(shù)語來評估信息風(fēng)險�����。這種方法可以通過從公司和行業(yè)來源收集有關(guān)網(wǎng)絡(luò)安全事件的數(shù)據(jù)��,然后將不同類型的風(fēng)險呈現(xiàn)為相應(yīng)的財務(wù)價值����;同時,它也可以通過Monte Carlo模擬引擎運行數(shù)據(jù)�����,再以財務(wù)形式生成損失風(fēng)險值����。
盡管名字叫做“信息風(fēng)險因子分析”(FAIR),但是其更多的是考慮風(fēng)險問題��,而不是另一種形式的數(shù)字計分卡�����。目前����,許多信息安全團隊正在使用FAIR。
正如FAIR標(biāo)準(zhǔn)風(fēng)險概念所言�,想要將業(yè)務(wù)與損失風(fēng)險條款中的網(wǎng)絡(luò)風(fēng)險保持一致的話,您需要采取下述一些步驟:
首先�����,了解業(yè)務(wù)的最大收益在哪里,以及它是如何創(chuàng)造出最大價值的�;進而了解在網(wǎng)絡(luò)攻擊事件中遭受財務(wù)影響最嚴(yán)重的地方是哪里。通常來說��,電子商務(wù)的業(yè)務(wù)中斷��,計劃����、設(shè)計或其他知識產(chǎn)權(quán)被盜、從數(shù)據(jù)庫中泄露機密的客戶信息�����,這些都會導(dǎo)致銷售損失�、市場份額損失、法律費用����、勞動力成本等等。事實上��,只需通過詢問您的財務(wù)��、人力資源、法律或運營部門�����,或是通過行業(yè)報告進行擴充����,這些損失都是可以量化的���。
其次���,了解造成損失的可能性網(wǎng)絡(luò)事件的類型和發(fā)生頻率。您的安全運營中心(SOC)或記錄網(wǎng)絡(luò)故障的部門將幫助您了解這些歷史網(wǎng)絡(luò)攻擊事件發(fā)生的事件和地點����。將這些信息與威脅情報供應(yīng)商和行業(yè)報告(如Verizon數(shù)據(jù)泄露調(diào)查報告)相結(jié)合,將為您的企業(yè)提供有關(guān)未來網(wǎng)絡(luò)攻擊的相關(guān)預(yù)測和建議��。
可以說��,“漏洞”并不是風(fēng)險����,“勒索軟件”以及“云”也都不是風(fēng)險���。我想,肯定不止你一人有這樣的疑問:這些聽起來都像風(fēng)險列表中羅列的風(fēng)險項目����,卻為什么不能稱為“風(fēng)險”呢?
因為它們都只是導(dǎo)致風(fēng)險的因素�����,但它們本身并不是風(fēng)險/損失事件�。許多團隊都通過核對并清理風(fēng)險列表,并讓每個人都專注于可能導(dǎo)致其組織真正損失的可能性事件�����,來開始實施FAIR����。他們會持續(xù)優(yōu)先考慮這些風(fēng)險,然后使用FAIR驅(qū)動的軟件來運行分析���,以了解哪些控制措施在降低安全風(fēng)險方面發(fā)揮了實際作用��。當(dāng)董事會或C級管理者想要了解新威脅所產(chǎn)生的影響�����,或是與新項目相關(guān)的風(fēng)險(如將關(guān)鍵應(yīng)用程序遷移到云端)時�����,CISO們就可以使用FAIR驅(qū)動的軟件所具備的分析能力和應(yīng)用程序����,快速地反饋一系列方案�,將風(fēng)險選擇更為清晰地呈現(xiàn)給決策者。
這是一場不斷發(fā)展演進的運動��,我認(rèn)為��,在這個對首席信息安全官的期望日趨加劇的時代���,這種運動是一種非常有益的存在�。
在線咨詢
在線咨詢
0371-63319761
