传达业务风险：现有的网络安全指标为何失灵

如何向企业最高管理层传达网络安全计划的业务风险上下文？作为一名网络安全领导者，我每一天都要面对这个问题。

安全与风险管理领导者掌握着大量框架与控制措施，可度量安全计划中最细微的领域。虽然这类指标在帮助管理我们团队的日常运营方面极具价值，但在向业务领导者传达时还有所欠缺。

面对最高管理层甚至审查委员会级别（通常是负责安全的董事会机构）时，管理人员往往希望了解网络安全计划对于企业实现核心价值主张的能力有何影响。然而，Forrester Consulting 代表 Tenable 对超过 800 名业务领导者与网络安全领导者进行的一项全球委托研究显示，66% 的业务领导者对安全团队量化企业风险或安全水平的能力信心不足。

这并不代表安全领导者的工作出现了纰漏。相反，这个结论清晰地揭露出一个无法避免的现实：当前度量网络安全风险的方式无法提供企业所需的业务上下文信息。调查中，超过半数安全领导者对自己现有的技术或流程能否预测出业务面临的网络安全威胁缺乏信心，将近五分之二的安全领导者不确定自己是否掌握了相关数据。

位于墨西哥圣佩德罗的 Home Depot Mexico CISO Cesar Garza 用一个词描述这项挑战：“研究结果”。在与 Tenable 所进行的访谈中，Garza 表示：“对我们而言，确定网络安全风险的级别并不太难。我们拥有 [全球各地的公司总部] 发给我们的成熟度评估、漏洞评估、渗透测试和各种审查和评估。棘手的是，我们要如何处理这些研究结果？大多数研究结果都需要投资、内部其他运营支出，增加员工队伍或在新技术方面进行投资。”

如何计算网络安全风险？

网络安全风险是任何指定时间点的资产、安全控制措施、威胁、漏洞所构成的函数。如果不清楚哪些资产对于核心业务价值的重要性最高，就无从了解哪些网络安全风险会对业务构成实际威胁。一旦确定了最重要的资产，下一步是要了解企业每年面临的数以万计的威胁和漏洞中，哪些实际上对核心资产构成了最大风险。

Forrester 的研究指出，只有不到 50% 的安全领导者能够在特定业务风险的上下文下预判出网络安全威胁的影响范围。接受调查的安全领导者中，过半数 (56%) 在漏洞优先级分析流程中缺乏业务风险管理目标。只有半数 (51%) 安全领导者表示，其部门会与业务利益相关者密切合作，使成本、绩效及降低风险的目标与业务需求保持一致。此外，只有四分之一的安全领导者表示，自己会定期与业务领导者共同审查安全部门的绩效指标。

Forrester 的研究还揭示：

• 超过半数 (56%) 的安全领导者表示，自己的企业缺乏良好可见性，难以掌握最重要资产的安全状况。
• 约 60% 的受访者表示，自己对于本地员工的风险评估具有较高或完全可见性，但当员工远程办公或居家办公时，只有 52% 的受访者表示出同样的信心。
• 只有 51% 的受访者表示自己对承包商或合作伙伴使用的系统具有较高或完全可见性，换成第三方供应商时，只有 55% 的受访者表示出同样的信心。

缺少业务上下文信息，计算网络安全风险便无从谈起

高级业务领导者与董事会最常提出的两个问题分别是：“我们的安全程度如何？”以及“我们的计划与同行业者相较如何？”

然而，与业务领导者不同的是，安全领导者只掌握有限的客观数据，还需要借此建立资产、安全控制、威胁和漏洞之间的网络安全风险方程，才能回答上述两个问题。任何现有框架都无法捕获我们运营的全貌，因此安全领导者只能拼凑各种度量指标。如果没有客观指标度量每项资产的业务上下文，网络安全风险计算就会陷入僵局。

事实上，Forrester 的研究显示，只有不到半数的安全领导者认为自己使用的业界基准框架能够非常有效地准确报告业务风险。超过半数的安全领导者表示，自己并未对安全控制措施进行充分的基准分析。

同时，企业攻击面中牵涉了太多变数，在可预见的未来，整个业界很可能无法就安全指标达成共识。从来没有企业能保证自己 100% 安全。我们只能根据所掌握的信息计算出可接受的风险水平，从而在解决合理水平的风险之后，就如何继续应对风险做出业务决策。

那么该如何利用所掌握的资源，开始弥合网络安全与业务之间的脱节？

没有放之四海而皆准的真理，但我们可以用马德里的 LafargeHolcim IT EMEA 作为例子。该公司的 IT 和内部控制主管 Jose Maria Labernia Salvador 在与 Tenable 所进行的访谈时说“我们评估了目前所采用的不同防护层的渗透率”。“这有助于我们的企业了解环境中的潜在风险暴露情况并在整个网络安全价值链上确定其风险评分。我们采用的模型是面向 KPI 的，并非面向数据或分段，因为您永远都不知道最初的攻击载体是什么，它可能会横向移动，对企业造成伤害。”

利用现有数据朝正确方向迈进

风险是相对的，不是绝对的。企业内部永远存在风险。关键在于企业采取的特定业务行动会降低还是增加风险。现有的安全评估方案只提供了快速划分界线的能力，为着手确定进一步完善安全计划所需的工作提供一个起点。

在 Home Depot Mexico，Garza 采用 Tenable.io with Lumin 以几乎实时的方式获得当前 Cyber Exposure 级别的可见性。我们可以对网络安全风险进行优先级分析，一屏就可显示所有信息。” 他指出企业现在正在打造一个适合高管使用的仪表板，为最高管理层提供可见性。

要想识别对企业最重要的关键风险指标，绝没有一劳永逸的方法。作为行业专业人士，我们能做的只有着手合作制定业务风险指标，能够与最高管理层的业务领导者产生共鸣。

为此，我将我的职业生涯中董事会和最高管理层问过我的问题清单留给您：

• 最重要的风险、职能、资产分别是什么和/或位于何处？
  • 目前保护措施为何？
• 与业界以及同行相比，我们的计划成熟度如何？
  • 改善成熟度的路线图是什么？
• 与业界竞争对手或同行相比，我们的安全计划资源如何？
• 业务重要性最高的职能部门是否比一年前得到了更完善的安全保障？
• 我们如何应对（在此处插入最近占据新闻头条的漏洞）？

我希望这些问题让您联想到其他值得度量的业务风险指标，我们一起找出更好的方法，使网络安全与业务安全保持一致。

阅读博客系列:如何成为与业务安全保持一致的网络安全领导者

本系列博客聚焦于使信息安全和业务保持一致所面临的挑战，以及信息安全领导者为何难以回答 “我们有多安全，或者有多危险？”。我们还研究了新冠疫情应对策略为业务与信息安全的脱节带来哪些启发，探讨了当传达网络安全风险​时，现有的网络安全指标为何失灵，探索了实现业务一致性的五个步骤，以及观察了与业务安全保持一致的网络安全领导者的日常工作。

了解详情：

• 请在此参阅其他研究要点
• 下载完整调研业务一致型安全高管的崛起
• 阅读博文
  • 将信息安全与业务保持一致这绝非易事
  • 为何网络安全领导者难以回答“我们有多安全？”这个问题
  • 新冠疫情应对策略为业务与信息安全的脱节带来哪些启发
• 下载白皮书成为与业务安全保持一致的信息安全领导者，需要采取哪些行动
• 阅读电子书如何成为与业务安全保持一致的信息安全领导者
• 收听 Cyber Exposure 播客系列节目“采访 Tenable CSO Bob Huber”
• 欢迎报名参加即将于 9 月 30 日举办的网络研讨会和现场问答“业务一致型安全高管的崛起”