为何网络安全领导者难以回答“我们有多安全？”这个问题

独立的业务风险研究表明，网络安全很少与业务策略完全集成，但又确实需要这样做。

想想出现这种场景：夺人眼球的漏洞被披露出来。新闻和社交媒体大肆报道。此漏洞牵扯到全球几乎每个企业都要使用的软件。董事会强烈要求给出答案，而高管们火烧眉毛，忙得不可开交。CEO 召开紧急会议。她问的第一个问题是：“我们有多安全？” 

您准备好回答这个问题了吗？

如果准备好回答了，则您幸运之至。根据 Tenable 委托 Forrester Consulting 进行的一项调研表明，在 10 位安全领导者中，只有 4 位可以充满信心地回答“我们有多安全？面临的风险有多高？”这个问题。 

如果您对网络安全稍加研究，就知道为何回答这个问题比看起来要难得多。 

当然，您可以提供有关受到影响的系统数量和您团队修复速度的数据。但是，所有这些数据都无法为您的 CEO 提供她想要的答案。她真正想了解的是：此漏洞是否会对我们实现核心业务价值的能力产生负面影响？ 

Forrester 受委托所进行的调研（调研人群为 10 个国家/地区的 416 位安全管理人员和 425 位业务管理人员）揭示，企业在了解和管理网络安全风险方面存在脱节现象。根据名为业务一致型安全高管的崛起的调研，66% 的业务领导者对其安全团队量化其企业风险或安全级别只有一点点信心，这令人震惊。该调研还揭示：

• 不到 50% 的安全领导者可以在特定业务风险环境中勾勒出网络安全威胁的影响。 
• 只有半数 (51%) 的安全领导者表示，他们的安全团队与业务利益相关者合作，使成本、绩效和风险下降的目标与业务需求保持一致
• 只有 43% 的安全领导者表示，他们会定期与业务利益相关者共同审查安全团队的绩效指标*
• 不到一半 (47%) 的安全领导者在制定网络安全策略时会经常咨询业务管理人员。另一方面，在 10 位业务管理人员中，有 4 位 (42%) 在制定企业业务策略时很少咨询安全领导者。
• 只有 54% 的安全领导者和 42% 的业务管理人员表示其网络安全策略完全或接近完全与业务目标保持一致。 

在与 Tenable 进行的访谈中，田纳西州橡树岭市的橡树岭国家实验室 CISO Kevin Kerr 表示，“与业务领导者交谈时，最大的挑战是力求使用非技术语言并以业务为导向，或者能够将技术语言转换为业务语言”。“如果您对业务一窍不通，那非砸锅不可。您得了解他们畏惧什么，对威胁的看法及其所思所想非常重要。如果您了解他们的业务，您知道他们要做什么，要保护什么，要货币化什么；您便可以向他们展示安全做到这一点的最佳方式，以达到所需的标准，同时还让他们可以自由开展业务。”

了解业务环境

逐步了解网络安全风险的业务环境并不容易，企业不同，对此的回答也有所不同。 

位于墨西哥 San Pedro 的 Home Depot Mexico CISO Cesar Garza 表示，“风险是业务管理人员知道并畏惧的一个词，也称为网络安全”。“我们的网络安全专业人员分分秒秒都在处理风险：漏洞、代码缺陷、人为因素、损坏的流程、弃用的技术、配置错误等。风险是网络安全管理人员和业务管理人员之间最常探讨的话题。这是双方之间的共同点。但是，将网络安全风险转换为管理人员可以理解的业务风险仍是一个挑战。在大多数情况下，我们需要想象最坏的情况，谈论诸如罚款、品牌损害和丢失客户忠诚度等问题，才能向业务管理人员传达确切的消息。因此，我喜欢这么说：‘我们聊聊风险吧，这样我们才能了解网络安全投资’”。

为了提供业务环境，安全和风险管理领导者必须先要回答两个关键问题：

1. 企业的核心价值何创造是什么？对于制造业，此问题的回答可能是制造和销售小商品来获得利润。对于医疗保健业，此问题的回答可能是为患者提供医疗保健。对于政府，此问题的回答可能是为公众提供服务，例如颁发驾照或垃圾处理。 
2. 企业的哪些 IT 资产对实现核心价值创造至关重要？例如，如果企业有 ERP 系统、医疗记录应用程序或数据库，那么在其离线时，是否会造成业务运营陷入停顿状态？是否存在某些用户群，其计算机受损时会泄露关键的知识产权或敏感数据，从而可能妨碍企业实现该核心价值？是否存在一个云环境，在其离线时，可能扰乱重要的面向客户的 Web 服务（例如银行或电子商务网站）？

在与 Tenable 进行的访谈中，位于马萨诸塞州 Needham 的全球旅行平台副总裁兼 CISO Rick Vadgama 表示，“与各个业务领导者建立良好的业务合作伙伴关系或进行接触确实可以了解业务计划的一些情况”。“如果他们的系统不运行，功能不可用，这将如何影响其收入流？基于此，我们应从安全角度了解我们应该在何处花费时间和精力来确保对构成该系统的所有资产都了如指掌，而且知道漏洞是什么。作为信息安全领导者，我们所接触的环境多种多样。通过切实与业务领导者合作，您会亲耳听到他们所了解的是他们赖以生存的关键系统，然后您可以围绕这个方面展开工作。

尽管增加对业务环境的了解非常重要，但同样重要的是要认识到，即使有了这种了解，现有的资产管理和配置数据库的作用也非常有限。对于初学者而言，资产清单和配置管理是相当静态的操作。以我的经验，大多数企业仅限于对关键业务功能进行年度风险评估或业务影响分析。这种静态方法几乎不足以捕获现代攻击面的实际情况，其中包括本地和基于云的 IT、物联网 (IoT) 和运营技术的动态组合。 

例如，在大多数企业中，云服务每天都会根据需要运转。随着员工的入职或离职，计算资产会持续进行添加或移除。应用程序和软件根据业务需求的变化而持续进行实施和升级。而且，为了应对新冠肺炎疫情，全球大量员工已经转为居家工作模式，这可能为企业的运营方式树立新的范式。随着当今的业务随以数字商务的步伐快速发展，资产清单已经无法跟上发展的步伐。安全领导者只能使用一些可供使用的工具来尽可能全面地了解资产重要性。 

在与 Tenable 进行的访谈中，LafargeHolcim 位于马德里的 IT 部门（欧洲、中东和非洲）的 IT 安全和内部控制主管 Jose Maria Labernia Salvador 表示，“作为安全专业人员，我们面对的最大挑战是所经历的增长速度（通常在行业无机增长时尤为重要）以及执行定性风险评估时的含糊不清的部分”。

在识别重要业务资产工作的同时，您还必须能够对企业每年面对的成千上万个威胁和漏洞进行优先级分析，以识别实际上对核心资产造成最大风险的漏洞。安全领导者需要在漏洞或攻击方式带来的威胁与修复或缓解的业务影响之间取得平衡。基本而言，您需要了解问题是如何暴露的、使用已有的流程系统解决此问题的响应速度，以及对此问题不作为和解决此问题对您的核心业务价值产生哪些影响。

如果再有头条新闻大肆报道的漏洞让最高管理层坐立不安，您准备好如何应对了吗？

归根结底，您的最高管理层很可能不是网络安全专家，而且肯定不是漏洞专家。他们真正想知道的是：我们的网络安全实践对创造价值的业务有什么影响？采用与业务安全保持一致的方法，您可以充满信心地评估有多少漏洞对那些对业务的核心领域有最大影响的资产至关重要，让您可以明确回答“我们有多安全？面临的风险有多高？”这个问题。 

阅读博客系列:如何成为与业务安全保持一致的网络安全领导者

本系列博客聚焦于使信息安全和业务保持一致所面临的挑战，以及信息安全领导者为何难以回答 “我们有多安全，或者有多危险？”。我们还研究了新冠疫情应对策略为业务与信息安全的脱节带来哪些启发，探讨了当传达网络安全风险​时，现有的网络安全指标为何失灵，探索了实现业务一致性的五个步骤，以及观察了与业务安全保持一致的网络安全领导者的日常工作。

了解详情：

• 请在此参阅其他研究要点
• 访问网页了解更多信息 
• 下载完整调研业务一致型安全高管的崛起
• 阅读博客将网络安全和业务保持一致：没人说这是件容易的事
• 下载白皮书成为与业务安全保持一致的信息安全领导者，需要采取哪些行动