CISO們深知風(fēng)險管理對于建立和維持企業(yè)安全的韌性至關(guān)重要，然而，盡管他們盡了最大的努力并懷有良好的意圖，許多安全領(lǐng)導(dǎo)者仍然會陷入常見的陷阱，從而削弱了他們的最佳努力。

無論企業(yè)的規(guī)模、使命或范圍如何，風(fēng)險管理在整體安全態(tài)勢中都扮演著基礎(chǔ)性角色，即便是看似簡單的錯誤也可能帶來嚴(yán)重后果，而CISO不可避免地會因此被指責(zé)。

以下是CISO在風(fēng)險管理中常犯的錯誤及如何避免它們的詳細(xì)介紹。

1. 缺乏明確的目標(biāo)

CISO最常犯的風(fēng)險管理錯誤之一就是未能創(chuàng)建一個明確的項目目標(biāo)，Deloitte(德勤)網(wǎng)絡(luò)業(yè)務(wù)咨詢部門的負(fù)責(zé)人Kristi Preuss表示。

Preuss觀察到，許多CISO每天都在應(yīng)對各種持續(xù)存在的問題和突發(fā)事件。因此，他們始終處于“救火模式”，沒有時間去制定或成功實施一個更廣泛的信息安全戰(zhàn)略。她說：“相反，許多CISO一上任就陷入細(xì)節(jié)中，試圖一次性處理所有問題，往往只能依賴遺留工具和有限的資源。”

當(dāng)CISO陷于這種被動和操作性的工作方式時，企業(yè)戰(zhàn)略就會受到影響，企業(yè)的安全控制也很難跟上并超越當(dāng)前的威脅態(tài)勢。Preuss指出：“如果項目目標(biāo)過時或定義不清，戰(zhàn)略投資有限，缺乏創(chuàng)新的戰(zhàn)略規(guī)劃，CISO不僅讓企業(yè)受到了損害，還最終增加了信息安全和網(wǎng)絡(luò)風(fēng)險。”

Preuss建議，那些希望擺脫困境、回歸戰(zhàn)略領(lǐng)導(dǎo)地位并采取主動安全策略的CISO應(yīng)當(dāng)部署常規(guī)化的操作性風(fēng)險流程。她還建議減少關(guān)鍵團(tuán)隊成員花費在可以由非關(guān)鍵人員處理的日常任務(wù)上的時間。

2. 過度進(jìn)行安全和風(fēng)險評估

許多CISO構(gòu)建了過于控制導(dǎo)向的安全和風(fēng)險管理項目，導(dǎo)致幾乎不斷地進(jìn)行風(fēng)險評估，總是試圖發(fā)現(xiàn)新的問題來解決。Google Cloud(谷歌云)CISO辦公室全球負(fù)責(zé)人Nick Godfrey警告說。

“盡管最初進(jìn)行風(fēng)險評估對減輕風(fēng)險是有幫助的，但長期來看，這變得不再具有生產(chǎn)力，導(dǎo)致一個無休止的循環(huán)，產(chǎn)生不成比例的成本，并錯失資源可以更好地投入其他地方的機(jī)會。”他表示。

Godfrey指出，CISO通常想要應(yīng)對組織可能面臨的每一個風(fēng)險，往往是在董事會的壓力下，推動安全領(lǐng)導(dǎo)者變得過于謹(jǐn)慎。“這導(dǎo)致建立了‘硬編碼’的風(fēng)險項目，唯一的做法是優(yōu)先進(jìn)行持續(xù)的風(fēng)險評估和緩解措施。”他說。

這種被動的思維方式可能會掩蓋對更具戰(zhàn)略性方法的需求，這種方法應(yīng)考慮到風(fēng)險對人員、產(chǎn)品和財務(wù)的潛在影響。此外，心理因素也可能導(dǎo)致個人或團(tuán)隊在風(fēng)險評估方面表現(xiàn)不佳。

Godfrey表示，正確的風(fēng)險管理方法是一個整體性的方法，既要保持適當(dāng)?shù)娘L(fēng)險水平，又不需要持續(xù)進(jìn)行緩解工作，從而可以根據(jù)需要更合理地重新分配資源。

他說：“擁有最佳安全態(tài)勢的組織不僅僅是保持低風(fēng)險，還會花費額外的時間來提高效率和能力，以進(jìn)一步降低風(fēng)險。”

Godfrey建議優(yōu)化風(fēng)險控制的安排，以減少所需的控制數(shù)量，自動化活動以減少維護(hù)和管理負(fù)擔(dān)，并通過強(qiáng)有力的欺詐預(yù)防方法改善客戶體驗。

3. 未能建立真正的安全文化

文化是信念、價值觀和行為的綜合體，因此，網(wǎng)絡(luò)安全文化主要由組織內(nèi)部的人所推動。NCC Group(NCC集團(tuán))網(wǎng)絡(luò)安全和托管服務(wù)公司的風(fēng)險管理和治理技術(shù)總監(jiān)Sourya Biswas表示，建立這種文化的最佳方式是通過實際行動來展示，而不僅僅是通過宏偉的使命聲明或華麗的演示。

他指出：“一個能夠堅持正確的安全信念、共享正確的安全價值觀并激勵正確安全行為的企業(yè)，能夠建立起正確的企業(yè)級網(wǎng)絡(luò)安全文化。沒有正確的文化，再好的安全策略也會失敗。”

由于網(wǎng)絡(luò)安全文化主要由人來驅(qū)動，它應(yīng)該由企業(yè)最高層的領(lǐng)導(dǎo)來示范，Biswas表示。“換句話說，這不應(yīng)該是安全組織的責(zé)任，而是整個高管團(tuán)隊和董事會的責(zé)任。”他認(rèn)為，最高層的態(tài)度對于培養(yǎng)有意義的網(wǎng)絡(luò)安全文化至關(guān)重要。如果員工看到領(lǐng)導(dǎo)層不踐行他們所倡導(dǎo)的原則，他們也很可能會效仿。

他總結(jié)道：“最終，企業(yè)中的每個人都有責(zé)任促進(jìn)網(wǎng)絡(luò)安全文化。”

4. 認(rèn)為他們的安全比實際情況更牢固

CISO犯的最大錯誤是認(rèn)為他們已經(jīng)獲得了完全的控制權(quán)，依賴他們的安全計劃，并將信心寄托于一系列行業(yè)認(rèn)證，認(rèn)為這些可以保護(hù)他們的企業(yè)免受網(wǎng)絡(luò)威脅。Radware網(wǎng)絡(luò)安全技術(shù)提供商的CISO Howard Taylor指出，網(wǎng)絡(luò)安全復(fù)雜且不斷演變，總會有新的攻擊者、新的攻擊方式，或者舊攻擊的新變種。“保持警惕和準(zhǔn)備是唯一真正管理風(fēng)險的方式。”

網(wǎng)絡(luò)安全需求隨著時間的推移而變化。Taylor警告說：“如果你沒有定期改進(jìn)和驗證你的控制環(huán)境，你會發(fā)現(xiàn)你的企業(yè)處于無保護(hù)狀態(tài)。”威脅態(tài)勢處于持續(xù)變化之中，初次實施時被認(rèn)為強(qiáng)大的安全解決方案，隨著時間的推移會變得脆弱。“哪怕只是一小段時間放松警惕，都可能付出巨大的代價。”

更糟糕的是，CISO常常基于一種虛假的安全感做出決策，Taylor表示。他們花費了大量的資金和時間來改進(jìn)網(wǎng)絡(luò)安全防御和培訓(xùn)團(tuán)隊，認(rèn)為不可能達(dá)不到完全的保護(hù)。

“實際上，對于‘我們是否安全?’這個問題，唯一真正的答案應(yīng)該永遠(yuǎn)是相同的——一個響亮的‘不’。”他說。

5. 打勾式的風(fēng)險管理方式

ISG(ISG技術(shù)研究和咨詢公司)的數(shù)字技術(shù)研究主管Jeff Orr表示，CISO們通常專注于確保符合法規(guī)和標(biāo)準(zhǔn)，而不是評估和管理他們的企業(yè)面臨的實際風(fēng)險。

“這可能源于一種誤解，即合規(guī)等同于安全，”他表示，并補(bǔ)充道，這種誤解可能導(dǎo)致一種打勾式的心態(tài)，使企業(yè)只專注于符合法規(guī)要求，卻忽視了評估和緩解現(xiàn)實世界中的威脅。“結(jié)果是，漏洞可能持續(xù)存在，導(dǎo)致本可以通過更具戰(zhàn)略性、基于風(fēng)險的方法避免的泄露和數(shù)據(jù)丟失。”

Orr表示，隨著時間的推移，CISO可能會變得自滿，依賴既定的安全協(xié)議，而不重新評估其有效性或適應(yīng)新風(fēng)險。“一種被動的‘打地鼠’式方法是不可持續(xù)的，它可能導(dǎo)致過時的安全政策和控制，無法應(yīng)對當(dāng)前的威脅。”

6. 未能建立有效的衡量指標(biāo)和治理模型

安全策略公司Tufin的現(xiàn)場CTO Erez Tadmor建議，CISO應(yīng)平衡其安全工具與強(qiáng)有力的、持續(xù)的衡量和治理模型。“通過優(yōu)先開發(fā)并定期審查這些框架，CISO可以顯著增強(qiáng)組織的安全態(tài)勢。”他表示。

有效的衡量指標(biāo)和治理模型將有助于確保安全政策始終與法規(guī)要求、行業(yè)最佳實踐以及企業(yè)的特定需求保持一致。Tadmor表示：“清晰且持續(xù)的可見性使團(tuán)隊能夠在錯誤配置導(dǎo)致安全漏洞之前發(fā)現(xiàn)問題。沒有強(qiáng)有力的衡量指標(biāo)和治理，衡量安全舉措的成功以及保持最新、有效的政策將變得非常困難。”

7. 未能創(chuàng)建強(qiáng)有力的運(yùn)營彈性計劃

Semperis安全技術(shù)提供商的CISO Jim Doggett表示，運(yùn)營彈性計劃從全局出發(fā)，涵蓋整個企業(yè)的生態(tài)系統(tǒng)，展示在破壞性事件期間如何維持業(yè)務(wù)運(yùn)作。“通過優(yōu)先考慮運(yùn)營彈性，CISO可以在應(yīng)對關(guān)鍵安全風(fēng)險的同時平衡業(yè)務(wù)連續(xù)性管理。”

Doggett說，通過細(xì)致的規(guī)劃，企業(yè)可以減少中斷，快速恢復(fù)，并在遭遇攻擊時減少對企業(yè)利潤的影響。“如果沒有運(yùn)營彈性計劃，你的整個生態(tài)系統(tǒng)，包括供應(yīng)商、合作伙伴和供應(yīng)鏈，都會面臨風(fēng)險。”

然而，運(yùn)營彈性工作往往會在企業(yè)內(nèi)部缺乏協(xié)調(diào)時失敗。“作為企業(yè)的領(lǐng)導(dǎo)者，CISO負(fù)責(zé)推動安全舉措，但運(yùn)營彈性需要整個組織的參與，”Doggett表示，“你不能僅僅把它交給某個部門或團(tuán)隊，所有人都需要參與其中。”