新冠疫情应对策略为业务与信息安全的脱节带来哪些启发

全球企业纷纷制定策略应对新冠疫情，但一项独立的业务风险研究显示，信息安全领导者基本上被排除在外。

企业规划和管理业务风险的方式已成为全球新冠疫情带来的诸多深刻变化之一。然而，许多信息安全领导者仍在业务风险管理中努力争取一席之地。 

事实上，Forrester Consulting 代表 Tenable 开展的一项研究显示，业务和信息安全领导者之间存在着巨大的脱节。尽管几乎所有受访者 (96%) 都表示自己的企业已经制定了新冠疫情的应对策略，但 75% 的受访者表示，业务和安全工作最多只是“有点”一致。

这样的情况令人深感担忧，尤其是现在为了应对疫情，企业突然广泛采用居家办公模式，导致企业网络中涌现大量最终用户设备。过去，远程桌面只是作为一种可有可无的产品，提供给一群特定的员工，现在却成为许多员工赖以维持企业运行的必要工具。突然之间，员工纷纷开始使用自己未经测试且可能存在漏洞的消费级路由器和家庭网络连接到核心业务系统和应用程序。物联网 (IoT) 设备的普及使其成为潜在的威胁载体。普通的家用网络中可能含有 Amazon Alexa 或其他语音控制工具、连接至互联网的电视和主机游戏设备，以及员工配偶、子女或其他家庭成员所拥有的各种笔记本电脑、平板电脑和手机。

布鲁金斯学会 (Brookings Institute) 估计，截至 2020 年 4 月 9 日，有多达一半的美国职工正在居家办公，可谓是“巨大的转变”。此外，皮尤研究中心 (Pew Research) 的研究显示，在疫情之前，美国只有 7% 的普通职工（约 980 万人，而全国普通职工总数约为 1.4 亿）享有“弹性工作场所”的福利或可以选择远程办公。

网络罪犯正乘虚而入，肆意利用呈指数级增长的攻击面。Forrester 的研究还指出，截至 2020 年 4 月中旬，四成 (41%) 企业已经遭受过至少一次新冠疫情相关的网络钓鱼或恶意软件手法造成的影响业务*的网络攻击。以上数据基于一项针对 10 个国家/地区 800 多名业务和信息安全领导者的在线调查，援引自研究：业务一致型安全高管的崛起。 

该研究报告称，与新冠疫情相关的诈骗，在所有影响业务的网络攻击中位居第1 名。尽管世界卫生组织在调查进行几周前才宣布新冠疫情大流行，但在调查进行时，与新冠疫情相关的攻击已经超过了其他影响业务的攻击，如欺诈 (40%)、数据外泄 (37%)、勒索软件 (36%) 和软件漏洞 (34%)。

就个人而言，我发现调查结果恰巧证实了一点：我不是唯一担心这些趋势的安全领导者。根据 Forrester 调查，三分之二 (67%) 的受访者表示，自己非常或极为担心新冠疫情导致的必要人力变动会增加企业的风险水平。 

更糟糕的是，大约一半 (48%) 受调查的信息安全领导者表示，自己对远程居家办公员工的可见性只有中等至零。

弥合这种脱节的一个关键方法在于，企业在制定风险管理战略时，将信息安全纳入其中。 

风险管理如何帮助您成为与业务保持一致的信息安全领导者

CISO、CSO 和其他信息安全领导者非常适合在风险管理以及业务连续性、灾难恢复和危机管理等相关领域中发挥更大作用。我们的工作正好使我们处于技术和业务的交叉点。我们拥有可见性，掌握实现业务连续性和灾难恢复计划所要求的所有系统、数据和流程。参与风险管理还会让工作更易于管理：如果能从广泛的企业风险角度了解所有重要流程和资产，定会使企业在信息安全方面也变得更强大。 

执行风险管理活动还可以成为企业的业务部门和信息安全部门之间的桥梁，从而获得明显的运营收益。这个过程中所揭示的信息将帮助整个企业理解对资源（包括人力和财力）进行优先级分析的最佳方式，即使在危机中也能保持业务运转。  

Sentara Healthcare：业务与信息安全有效保持一致的案例分析

Sentara Healthcare 提供了业务与信息安全有效保持一致的案例分析。在接受 Tenable 的采访时，Sentara Healthcare 的 CISO Dan Bowden 指出，疫情发展之初，该企业的 IT 和安全团队就认识到自己肩负着两项关键任务：支持大规模员工居家办公；以及通过切换运营技术 (OT) 和物联网 (IoT) 系统来照顾突然涌入的危重患者，帮助将普通医院病房改建为重症监护病房 (ICU)。

Bowden 表示，“今年 3 月和 4 月，我们超过 50% 的工作量都放在了全力建设 ICU 容量中，并想方设法利用技术减少个人防护设备 (PPE) 的消耗。”

尽管这种转换最终取得了成功，但企业修补过程却陷入了两个月之久的混乱。

“作为 CISO，我是非常热衷于漏洞扫描，我的团队也是。” Bowden 表示，“当发现新漏洞时，我们会以需求为基础制定应对策略。由于 IT 团队在医院转换床位，我们被迫微调漏洞扫描时间和修补策略。从技术角度来看，普通病房的配置自有其特定方式。改建成 ICU 时，需要伴随一系列技术系统和应用程序的联动变化。我们的基础设施和应用团队忙于改换床面，原本少量的 ICU 床位有了大幅增加。因此，我们必须想办法继续遵守修补时间表，从而高效、有效地管理风险。在这方面，我们很大程度上依赖于 Tenable 的漏洞优先级评级。今年春夏季节，我们可能比以往任何时候都更积极地使用这项技术。”

到了 6 月，修补程序重回正轨。而现在，随着第四季度的临近，与众多遭遇新冠疫情经济影响的行业一样，Bowden 也面临重大的预算决策。“我们正努力减少运营支出，让预算恢复正常水平。我们如何维持 2020 年收支平衡？我们非常专注于确保基本运营不中断，以及应对因新冠疫情传播形势变化而产生的任何新要求。”

Bowden 补充道：“我们的领导团队非常积极进取，对我们所有人说‘要保持创造力，帮助我们在当前局势中找出发展之路。’因此，我们还需要开展一系列相关的大型项目。”

展现信息安全投资回报

当全球企业都面临着潜在的长期经济不确定性时，根据风险对投资进行优先级分析就变得至关重要。Forrester 的研究表明，当安全和业务保持一致时，就能交出亮眼成绩。例如，85% 与业务安全保持一致的信息安全领导者掌握可追踪信息安全 ROI 或业务绩效影响的指标，而更加各自为政的被动型安全领导者仅有四分之一 (25%) 能掌握这些指标。相比于更加各自为政的安全领导者，与业务安全保持一致的信息安全领导者在报告企业安全级别或风险级别方面信心可能也要高出八倍。绝大多数 (86%) 与业务安全保持一致的信息安全领导者拥有相关流程，能够清晰表达期望，并展现持续的流程改进，相比之下，更加各自为政的被动型安全领导者仅有 32% 能做到这一点。 

参与制定企业风险管理 (ERM) 策略是成为与业务安全保持一致的信息安全领导者的必由之路。

以下六个步骤有助于初步识别和评估企业风险：

1. 制定风险评估调查，并分发给关键利益相关者。这些调查通常由高级主管及以上级别的管理层处理，同时应包括企业所有主要部门的代表，即财务、法律、人力资源、信息技术、信息安全、销售、运营、市场营销和研发部门。调查完成后，建议将回应整理成风险类别，以便编制出企业风险清单。
2. 进行研究和分析，将自身企业风险与行业风险调查进行比较。
3. 制定风险评估方法，包括概率和影响，获得总体风险评级。 
4. 确定企业中的关键管理者，投入时间与他们面谈，获得他们对风险和优先级分析、以及风险概率和影响方面的反馈。
5. 向高级管理层呈报风险评估的结果，以最终确定首要风险，并邀请高级管理层人员担任风险负责人。
6. 与高级管理层风险负责人合作，确定首要风险的缓解行动。

执行上述步骤虽然艰辛，却能提供一系列明确的优先顺序，从而带来巨大优势。企业将掌握一份共同商定的风险清单。信息安全本身可能独立成为企业风险，也肯定会以某种形式影响到许多其他企业风险，甚至是所有风险。 

将企业风险评估与业务影响分析相结合，对于业务连续性和灾难恢复至关重要，可确定企业最需要哪些重要系统和业务流程，而这两个因素则是建立与业务保持一致的信息安全策略的基础。贵公司将得到一份重要企业风险和流程清单，进而在危机时刻（无论危机是由网络攻击、自然灾害还是全球疫情造成）以及正常业务运营恢复时，可以就应对措施进行明确的优先级分析。 

在稳定时期，公司很容易将企业风险管理视为按部就班的活动，直接交给由风险专业人员组成的单独团队处理就万事大吉。面临新冠疫情，业务和技术领导者发现自己上了一堂危机管理速成课。我们每个人都应该以此为契机，重新思考应对企业风险的方法，在面对危机时有更充分的准备，等到顺遂时也能抢得先机。 

阅读博客系列:如何成为与业务安全保持一致的网络安全领导者

本系列博客聚焦于使信息安全和业务保持一致所面临的挑战，以及信息安全领导者为何难以回答 “我们有多安全，或者有多危险？”。我们还研究了新冠疫情应对策略为业务与信息安全的脱节带来哪些启发，探讨了当传达网络安全风险​时，现有的网络安全指标为何失灵，探索了实现业务一致性的五个步骤，以及观察了与业务安全保持一致的网络安全领导者的日常工作。

了解详情

• 请在此参阅其他研究要点
• 下载完整调研业务一致型安全高管的崛起
• 阅读博客使信息安全与业务保持一致：绝非易事和信息安全领导者为何难以回答 “我们有多安全？”
• 下载白皮书成为与业务安全保持一致的信息安全领导者，需要采取哪些行动
• 阅读电子书如何成为与业务安全保持一致的信息安全领导者
• 收听 Cyber Exposure 播客系列节目“采访 Tenable CSO Bob Huber”

*在本调查中，“影响业务”指造成以下任一或多方面后果的网络攻击或破坏：客户、员工或其他机密数据损失；中断日常运营；为勒索软件付赎金；财务损失或遭窃；和/或知识产权遭窃。