Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

传达业务风险:现有的网络安全指标为何失灵

如何向企业最高管理层传达网络安全计划的业务风险上下文?作为一名网络安全领导者,我每一天都要面对这个问题。

安全与风险管理领导者掌握着大量框架与控制措施,可度量安全计划中最细微的领域。虽然这类指标在帮助管理我们团队的日常运营方面极具价值,但在向业务领导者传达时还有所欠缺。

面对最高管理层甚至审查委员会级别(通常是负责安全的董事会机构)时,管理人员往往希望了解网络安全计划对于企业实现核心价值主张的能力有何影响。然而,Forrester Consulting 代表 Tenable 对超过 800 名业务领导者与网络安全领导者进行的一项全球委托研究显示,66% 的业务领导者对安全团队量化企业风险或安全水平的能力信心不足。

这并不代表安全领导者的工作出现了纰漏。相反,这个结论清晰地揭露出一个无法避免的现实:当前度量网络安全风险的方式无法提供企业所需的业务上下文信息。调查中,超过半数安全领导者对自己现有的技术或流程能否预测出业务面临的网络安全威胁缺乏信心,将近五分之二的安全领导者不确定自己是否掌握了相关数据。

位于墨西哥圣佩德罗的 Home Depot Mexico CISO Cesar Garza 用一个词描述这项挑战:“研究结果”。在与 Tenable 所进行的访谈中,Garza 表示:“对我们而言,确定网络安全风险的级别并不太难。我们拥有 [全球各地的公司总部] 发给我们的成熟度评估、漏洞评估、渗透测试和各种审查和评估。棘手的是,我们要如何处理这些研究结果?大多数研究结果都需要投资、内部其他运营支出,增加员工队伍或在新技术方面进行投资。”

如何计算网络安全风险?

网络安全风险是任何指定时间点的资产、安全控制措施、威胁、漏洞所构成的函数。如果不清楚哪些资产对于核心业务价值的重要性最高,就无从了解哪些网络安全风险会对业务构成实际威胁。一旦确定了最重要的资产,下一步是要了解企业每年面临的数以万计的威胁和漏洞中,哪些实际上对核心资产构成了最大风险。

Forrester 的研究指出,只有不到 50% 的安全领导者能够在特定业务风险的上下文下预判出网络安全威胁的影响范围。接受调查的安全领导者中,过半数 (56%) 在漏洞优先级分析流程中缺乏业务风险管理目标。只有半数 (51%) 安全领导者表示,其部门会与业务利益相关者密切合作,使成本、绩效及降低风险的目标与业务需求保持一致。此外,只有四分之一的安全领导者表示,自己会定期与业务领导者共同审查安全部门的绩效指标。

Forrester 的研究还揭示:

  • 超过半数 (56%) 的安全领导者表示,自己的企业缺乏良好可见性,难以掌握最重要资产的安全状况。
  • 约 60% 的受访者表示,自己对于本地员工的风险评估具有较高或完全可见性,但当员工远程办公或居家办公时,只有 52% 的受访者表示出同样的信心。
  • 只有 51% 的受访者表示自己对承包商或合作伙伴使用的系统具有较高或完全可见性,换成第三方供应商时,只有 55% 的受访者表示出同样的信心。

缺少业务上下文信息,计算网络安全风险便无从谈起

高级业务领导者与董事会最常提出的两个问题分别是:“我们的安全程度如何?”以及“我们的计划与同行业者相较如何?”

然而,与业务领导者不同的是,安全领导者只掌握有限的客观数据,还需要借此建立资产、安全控制、威胁和漏洞之间的网络安全风险方程,才能回答上述两个问题。任何现有框架都无法捕获我们运营的全貌,因此安全领导者只能拼凑各种度量指标。如果没有客观指标度量每项资产的业务上下文,网络安全风险计算就会陷入僵局。

事实上,Forrester 的研究显示,只有不到半数的安全领导者认为自己使用的业界基准框架能够非常有效地准确报告业务风险。超过半数的安全领导者表示,自己并未对安全控制措施进行充分的基准分析。

同时,企业攻击面中牵涉了太多变数,在可预见的未来,整个业界很可能无法就安全指标达成共识。从来没有企业能保证自己 100% 安全。我们只能根据所掌握的信息计算出可接受的风险水平,从而在解决合理水平的风险之后,就如何继续应对风险做出业务决策。

那么该如何利用所掌握的资源,开始弥合网络安全与业务之间的脱节?

没有放之四海而皆准的真理,但我们可以用马德里的 LafargeHolcim IT EMEA 作为例子。该公司的 IT 和内部控制主管 Jose Maria Labernia Salvador 在与 Tenable 所进行的访谈时说“我们评估了目前所采用的不同防护层的渗透率”。“这有助于我们的企业了解环境中的潜在风险暴露情况并在整个网络安全价值链上确定其风险评分。我们采用的模型是面向 KPI 的,并非面向数据或分段,因为您永远都不知道最初的攻击载体是什么,它可能会横向移动,对企业造成伤害。”

利用现有数据朝正确方向迈进

风险是相对的,不是绝对的。企业内部永远存在风险。关键在于企业采取的特定业务行动会降低还是增加风险。现有的安全评估方案只提供了快速划分界线的能力,为着手确定进一步完善安全计划所需的工作提供一个起点。

在 Home Depot Mexico,Garza 采用 Tenable.io with Lumin 以几乎实时的方式获得当前 Cyber Exposure 级别的可见性。我们可以对网络安全风险进行优先级分析,一屏就可显示所有信息。” 他指出企业现在正在打造一个适合高管使用的仪表板,为最高管理层提供可见性。

要想识别对企业最重要的关键风险指标,绝没有一劳永逸的方法。作为行业专业人士,我们能做的只有着手合作制定业务风险指标,能够与最高管理层的业务领导者产生共鸣。

为此,我将我的职业生涯中董事会和最高管理层问过我的问题清单留给您:

  • 最重要的风险、职能、资产分别是什么和/或位于何处?
    • 目前保护措施为何?
  • 与业界以及同行相比,我们的计划成熟度如何?
    • 改善成熟度的路线图是什么?
  • 与业界竞争对手或同行相比,我们的安全计划资源如何?
  • 业务重要性最高的职能部门是否比一年前得到了更完善的安全保障?
  • 我们如何应对(在此处插入最近占据新闻头条的漏洞)?

我希望这些问题让您联想到其他值得度量的业务风险指标,我们一起找出更好的方法,使网络安全与业务安全保持一致。

本系列之前的博客聚焦于使信息安全和业务保持一致所面临的挑战,以及信息安全领导者为何难以回答 “我们有多安全,或者有多危险?”。我们还研究了新冠疫情应对策略为业务与信息安全的脱节带来哪些启发。在以后的帖子中,我们将探讨实现业务一致性的五个步骤,并了解与业务安全保持一致的信息安全领导者如何度过他的一天。

了解详情:

相关文章

传达业务风险:现有的网络安全指标为何失灵

作者:Robert Huber•2020 年 9 月 16 日 - 上午 8:51

订阅 Tenable 博客

订阅
免费试用 立即购买

选择 Tenable.io

免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册。

立即购买 Tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买
免费试用 立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。完整介绍请见此处。

免费试用 立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

免费试用 联系销售人员

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

了解有关 Industrial Security 的详情

获取 Tenable.sc 演示

请将您的联系方式填写在下方表格中,我们的销售代表很快与您联系安排演示。您也可以写下简短评论(不得超过 255 个字符)。请注意,带星号 (*) 的字段为必填项。

免费试用 联系销售人员

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

申请演示 Tenable.ot

获得符合需求的运营技术安全性。
降低避之不及的风险。