CISO们深知风险管理对于建立和维持企业安全的韧性至关重要,然而,尽管他们尽了最大的努力并怀有良好的意图,许多安全领导者仍然会陷入常见的陷阱,从而削弱了他们的最佳努力。
无论企业的规模、使命或范围如何,风险管理在整体安全态势中都扮演着基础性角色,即便是看似简单的错误也可能带来严重后果,而CISO不可避免地会因此被指责。
以下是CISO在风险管理中常犯的错误及如何避免它们的详细介绍。
1. 缺乏明确的目标
CISO最常犯的风险管理错误之一就是未能创建一个明确的项目目标,Deloitte(德勤)网络业务咨询部门的负责人Kristi Preuss表示。
Preuss观察到,许多CISO每天都在应对各种持续存在的问题和突发事件。因此,他们始终处于“救火模式”,没有时间去制定或成功实施一个更广泛的信息安全战略。她说:“相反,许多CISO一上任就陷入细节中,试图一次性处理所有问题,往往只能依赖遗留工具和有限的资源。”
当CISO陷于这种被动和操作性的工作方式时,企业战略就会受到影响,企业的安全控制也很难跟上并超越当前的威胁态势。Preuss指出:“如果项目目标过时或定义不清,战略投资有限,缺乏创新的战略规划,CISO不仅让企业受到了损害,还最终增加了信息安全和网络风险。”
Preuss建议,那些希望摆脱困境、回归战略领导地位并采取主动安全策略的CISO应当部署常规化的操作性风险流程。她还建议减少关键团队成员花费在可以由非关键人员处理的日常任务上的时间。
2. 过度进行安全和风险评估
许多CISO构建了过于控制导向的安全和风险管理项目,导致几乎不断地进行风险评估,总是试图发现新的问题来解决。Google Cloud(谷歌云)CISO办公室全球负责人Nick Godfrey警告说。
“尽管最初进行风险评估对减轻风险是有帮助的,但长期来看,这变得不再具有生产力,导致一个无休止的循环,产生不成比例的成本,并错失资源可以更好地投入其他地方的机会。”他表示。
Godfrey指出,CISO通常想要应对组织可能面临的每一个风险,往往是在董事会的压力下,推动安全领导者变得过于谨慎。“这导致建立了‘硬编码’的风险项目,唯一的做法是优先进行持续的风险评估和缓解措施。”他说。
这种被动的思维方式可能会掩盖对更具战略性方法的需求,这种方法应考虑到风险对人员、产品和财务的潜在影响。此外,心理因素也可能导致个人或团队在风险评估方面表现不佳。
Godfrey表示,正确的风险管理方法是一个整体性的方法,既要保持适当的风险水平,又不需要持续进行缓解工作,从而可以根据需要更合理地重新分配资源。
他说:“拥有最佳安全态势的组织不仅仅是保持低风险,还会花费额外的时间来提高效率和能力,以进一步降低风险。”
Godfrey建议优化风险控制的安排,以减少所需的控制数量,自动化活动以减少维护和管理负担,并通过强有力的欺诈预防方法改善客户体验。
3. 未能建立真正的安全文化
文化是信念、价值观和行为的综合体,因此,网络安全文化主要由组织内部的人所推动。NCC Group(NCC集团)网络安全和托管服务公司的风险管理和治理技术总监Sourya Biswas表示,建立这种文化的最佳方式是通过实际行动来展示,而不仅仅是通过宏伟的使命声明或华丽的演示。
他指出:“一个能够坚持正确的安全信念、共享正确的安全价值观并激励正确安全行为的企业,能够建立起正确的企业级网络安全文化。没有正确的文化,再好的安全策略也会失败。”
由于网络安全文化主要由人来驱动,它应该由企业最高层的领导来示范,Biswas表示。“换句话说,这不应该是安全组织的责任,而是整个高管团队和董事会的责任。”他认为,最高层的态度对于培养有意义的网络安全文化至关重要。如果员工看到领导层不践行他们所倡导的原则,他们也很可能会效仿。
他总结道:“最终,企业中的每个人都有责任促进网络安全文化。”
4. 认为他们的安全比实际情况更牢固
CISO犯的最大错误是认为他们已经获得了完全的控制权,依赖他们的安全计划,并将信心寄托于一系列行业认证,认为这些可以保护他们的企业免受网络威胁。Radware网络安全技术提供商的CISO Howard Taylor指出,网络安全复杂且不断演变,总会有新的攻击者、新的攻击方式,或者旧攻击的新变种。“保持警惕和准备是唯一真正管理风险的方式。”
网络安全需求随着时间的推移而变化。Taylor警告说:“如果你没有定期改进和验证你的控制环境,你会发现你的企业处于无保护状态。”威胁态势处于持续变化之中,初次实施时被认为强大的安全解决方案,随着时间的推移会变得脆弱。“哪怕只是一小段时间放松警惕,都可能付出巨大的代价。”
更糟糕的是,CISO常常基于一种虚假的安全感做出决策,Taylor表示。他们花费了大量的资金和时间来改进网络安全防御和培训团队,认为不可能达不到完全的保护。
“实际上,对于‘我们是否安全?’这个问题,唯一真正的答案应该永远是相同的——一个响亮的‘不’。”他说。
5. 打勾式的风险管理方式
ISG(ISG技术研究和咨询公司)的数字技术研究主管Jeff Orr表示,CISO们通常专注于确保符合法规和标准,而不是评估和管理他们的企业面临的实际风险。
“这可能源于一种误解,即合规等同于安全,”他表示,并补充道,这种误解可能导致一种打勾式的心态,使企业只专注于符合法规要求,却忽视了评估和缓解现实世界中的威胁。“结果是,漏洞可能持续存在,导致本可以通过更具战略性、基于风险的方法避免的泄露和数据丢失。”
Orr表示,随着时间的推移,CISO可能会变得自满,依赖既定的安全协议,而不重新评估其有效性或适应新风险。“一种被动的‘打地鼠’式方法是不可持续的,它可能导致过时的安全政策和控制,无法应对当前的威胁。”
6. 未能建立有效的衡量指标和治理模型
安全策略公司Tufin的现场CTO Erez Tadmor建议,CISO应平衡其安全工具与强有力的、持续的衡量和治理模型。“通过优先开发并定期审查这些框架,CISO可以显著增强组织的安全态势。”他表示。
有效的衡量指标和治理模型将有助于确保安全政策始终与法规要求、行业最佳实践以及企业的特定需求保持一致。Tadmor表示:“清晰且持续的可见性使团队能够在错误配置导致安全漏洞之前发现问题。没有强有力的衡量指标和治理,衡量安全举措的成功以及保持最新、有效的政策将变得非常困难。”
7. 未能创建强有力的运营弹性计划
Semperis安全技术提供商的CISO Jim Doggett表示,运营弹性计划从全局出发,涵盖整个企业的生态系统,展示在破坏性事件期间如何维持业务运作。“通过优先考虑运营弹性,CISO可以在应对关键安全风险的同时平衡业务连续性管理。”
Doggett说,通过细致的规划,企业可以减少中断,快速恢复,并在遭遇攻击时减少对企业利润的影响。“如果没有运营弹性计划,你的整个生态系统,包括供应商、合作伙伴和供应链,都会面临风险。”
然而,运营弹性工作往往会在企业内部缺乏协调时失败。“作为企业的领导者,CISO负责推动安全举措,但运营弹性需要整个组织的参与,”Doggett表示,“你不能仅仅把它交给某个部门或团队,所有人都需要参与其中。”