信息来源:企业网D1Net
无论企业在网络安全上花费多少费用,都无法保证不会发生重大事件。那么,企业高级管理人员和董事会如何知道做些什么才有意义?
Michael Gabriel是Fortium Partners公司合伙人,作为企业技术代表,他参加了美国信息风险委员会召开的一次会议。此外,还有来自财务、人力资源、法律、人身安全、内部审计以及外部审计行业领域的一些高级管理人员参加了会议。外部审计表明,安全人员需要向企业董事会介绍潜在的网络安全威胁。问题是,如果在管理人员做出回应之前就传达了这一点,那么所要做的就是引起他们的关注,否则可能无济于事。
Michael Gabriel表示,人们围绕如何最好地传达整体企业网络安全状况以及跨各个部门提出了一些问题,企业董事会需要尽快意识到这一点。无论网络安全情况如何,都需要由外部审计向企业董事会提供简报,而这是合理和必要的措施。
Michael Gabriel调查了一些专注于网络的大型专业服务公司,这些公司都建立了网络安全方法,但从最初的努力和持续的维护来看似乎非常困难,因为没有人能提供人们想要传达的清晰视角。
需要通过时间维度来看待网络安全观点
现在,人们都知道最好是通过一个清晰的故事传达观点。而人们的经历将会强化传达的观点,其中包括:
•过去–就重大事件而言,人们经历了什么?在这些事件中,人们学到了什么,做了什么?
•现状–人们在新闻中听到的威胁相关的风险是什么?将如何应对?
•未来–基于业务计划和不断发展的威胁,人们对未来需要担心什么?这对前瞻计划有何影响?
为了确保根据过去、现在和将来的观点给予适当的关注,有必要持续更新状态,重点放在关键的业务影响指标和计划上,最好是在与企业董事会会议相衔接的基础上进行。当然,这并不排除根据实际事件或感知到的威胁立即发出通知和采取行动的可能性,这些项目将列入下一次状态更新中。虽然这为人们的工作方式提供了时间视角,但并没有解决系统化网络安全态势所需的参考点。
确定网络安全风险的基础是什么?
Rain Capital公司执行合伙人兼董事会成员王晨曦(Chenxi Wang)博士提供了一个指导性的问题,就是“我们到底有多安全?”因为它不是基于任何评估框架的,而是基于个人观点的意见。要了解企业的安全状况,需要结合了解企业的威胁矩阵和评估网络安全风险的基础。
王晨曦博士指出,“网络安全风险需要在企业面临的重大风险的背景下进行讨论。如何评估这些风险是否需要董事会关注,应该使用类似的风险框架,并且每6个月左右评估一次。”
专家提出的例子通常是为家庭实施的安全保护。例如家庭中每个房间都部署感测器,例如烟雾、热量、水、一氧化碳、运动探测器和摄像头,每个房间采用全天候监控,但是并不能保证住房不会被抢劫,不会着火,也不会被洪水淹没。虽然购买保险能够弥补一些损失,但房主的生活将会受到严重中断,可能失去一些珍贵的贵重物品。但是,房主可以基于需要保护的内容决定需要支出保险费用。
从业务角度来看,这确实没有什么不同。通过法律合同,企业的业务会受到法律保护,免受第三方网络事件的影响,并在财务上受到网络保险的保护,但是即使采用这些保护措施,企业的声誉会受到什么影响?在进行补救之前,它将如何影响企业正在进行的流程或消费者或业务关系?
企业的业务风险和必要保护将根据其业务类型而有所不同。企业需要决定哪些资产(数据、系统访问等)需要保护?如果这些资产受损会有什么影响?
Gabriel表示,例如媒体集团有一些不同的业务,而订阅电视/点播业务面临的风险不同于实时新闻机构,广告支持的广播网络,电视和电影制作公司。尽管在整个组织中都有标准的信息安全策略,但是它们在各个业务部门中的相关程度却有所不同。
企业需要保护哪些资产?
管理人员需要考虑对于企业真正重要的事情。需要考虑的一些领域包括:
•消费者信息(无论是企业内部还是第三方管理)
•法规遵从性(包括州和联邦政府,国内和国际),例如PII、PCI、GDPR、CCPA、HIPPA等。
•供应链(数字或其他)
•品牌声誉(包括社交媒体影响以及面向公众或B2B的网站)
•知识产权保护,包括战略和计划
•员工信息(包括保密的第三方人员信息)
•非公开财务和合同信息
要发现这一点,需要与每个部门的所有业务负责人以及企业的外部会计事务所进行探讨。企业管理人员必须能够建立自己的信任关系,为业务提供帮助,而风险承受能力是业务决策,管理人员可以提供指导。
然后,企业需要了解网络安全框架和标准。可以考虑以下一些标准,但建议汇总这些标准以传达摘要级别的状态,并以某种方式
传达当前和未来网络安全计划的潜在业务和财务影响:
•互联网安全中心(CIS)关键安全控制(CSC)
•美国国家标准与技术研究所(NIST)的网络安全框架(CSF)
•SANS前20个控件
•欧盟的GDPR(通用数据保护法规)
•加州消费者保护法(CCPA)
•ISO 27000系列(国际标准化组织(ISO)和国际电工委员会(IEC))
•美国企业董事协会(NACD)网络安全准则
资金对企业的网络安全风险有何影响?与同行相比如何?
尽职调查对于确定企业的网络安全地位至关重要,企业的首席财务官可以发挥重要作用。
行业中通常会有一些有关支出的行业指南,例如金融服务部门网络安全配置文件,可用于支出评估。那么会根据他们可能拥有的专业知识来探讨对其审计公司以及关键网络安全公司而言哪个有意义。
但是从这个角度来看,预算支出如何影响企业情况?如果企业的首席财务官、首席运营官或董事会问以下这些问题,那么将如何回应?
•是否需要更多资金用于网络安全计划,如果需要将如何降低风险?
•如果要求企业的网络安全预算削减10%,这是否增加风险?
那么需要花费多少资金?是否批准该请求以获取更多资源,或者是新的人工智能/机器学习威胁防御工具?从业务角度如何传递风险?公认的最佳实践是使用基于风险的方法,该方法旨在确定采取适当的预防措施的成本是否值得潜在的风险影响。它可以是一个简单的四象限视角,例如在一个轴上的风险从低到高,而另一轴上的成本从低到高,并且可以帮助企业评估有限的支出应该应用在哪里。
不过,正如Michael Gabriel在IBM高管会议上了解到的那样,人们通常根据当前的确定性来决定未来的不确定性。David Rock博士在行业媒体上发表的文章支持了这一点:“通常人们的大脑渴望确定性,并像避免痛苦一样避免不确定性”,这篇文章提到了如何处理确定性与不确定性的原则。人们致力于自动避免不确定性,并说明了为什么偏爱所了解的当前事物而不是不利的事物。它解释了当前财务成本增加的阻力,以及何时发生网络安全事件对其财务影响的不确定性。
在这里,有很多首席信息安全官的例子,有人问他们是否会在明年或几年内再次提出对额外资源的要求。他们并不会表示内部和外部因素都会有影响。因此建议他们确保传达要求的原因,这是公司控制的事件,例如收购和整合成本使他们的新业务提高了安全性?如果是这样,则要决定这些更改是否合理,因为这是业务决策。还是有新的业务扩展(例如直接面向消费者)对网络安全产生影响?还是需要保护新的营业地点?企业需要感觉自己对这些决策拥有一定的控制权。只有通过适当的评估框架,并了解潜在的网络安全事件和预防性缓解成本对业务的影响,才能做到这一点。
由于发生某种类型网络安全事件的可能性很高,因此企业还需要为事件响应做好准备——操作、法定和面向公众。所有这些都会受到特定事件、业务类型、技术结构、第三方依赖关系以及不同类型的网络安全事件的潜在影响。这也可以用上述类似的基于风险的方法来处理。
除非企业认真对待网络安全,否则将掉入资金的黑洞。企业管理人员需要做出权衡和艰难的决定。需要准备好回答有关组织的网络安全成熟度和为管理新出现的威胁而建立的框架的问题。应确保网络安全状态的框架与管理其他业务风险的方式类似,即潜在安全事件对业务资产的影响。
与企业首席财务官、首席运营官以及首席法律官(内部或外部审计)合作,以帮助为此提供依据。例如首席信息官、首席技术官、首席信息安全官等高管有责任以业务术语简洁地解释潜在风险和降低风险。尽管有些高管不喜欢看到网络安全问题被记录在案,但对此视而不见将会面临风险。以业务可理解的角度负责任地传达此信息,并建立适当的利益相关者支持,这是企业的责任。