是時(shí)候采用新的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理模式了
2018年12月17日
激增的網(wǎng)絡(luò)攻擊面,龐大的漏洞量�,復(fù)雜的威脅場(chǎng)景以及新的業(yè)務(wù)需求等諸多因素,都在呼吁新的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理模型的出現(xiàn)和運(yùn)用�。
當(dāng)前所使用的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理模式顯然已經(jīng)無(wú)法適應(yīng)時(shí)代的發(fā)展需求。雖然網(wǎng)絡(luò)風(fēng)險(xiǎn)管理對(duì)于企業(yè)高管而言比以往任何時(shí)候都更為重要�����,但是鑒于不斷激增的攻擊面�����,龐大的漏洞量以及復(fù)雜的威脅場(chǎng)景等因素��,對(duì)于CISO和網(wǎng)絡(luò)安全團(tuán)隊(duì)而言����,想要有效地實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理卻變得更為困難。
即將發(fā)布的ESG最新研究表明��,過(guò)去發(fā)揮過(guò)作用的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理模型如今已經(jīng)不再是一種合適的選擇����,以下是部分調(diào)查結(jié)果提要:
企業(yè)管理者的參與程度遠(yuǎn)遠(yuǎn)超過(guò)以往���。幾年前,企業(yè)高管的目標(biāo)并不是獲取真正強(qiáng)大的安全性��,他們想要的只是足夠好的安全性就夠了���。當(dāng)時(shí)的安全專業(yè)人士對(duì)這些并未付諸全力的網(wǎng)絡(luò)安全工作感到遺憾和失落�,他們迫切渴望擁有具備網(wǎng)絡(luò)安全專業(yè)知識(shí)的首席執(zhí)行官�����,能夠真正投資于強(qiáng)大的網(wǎng)絡(luò)安全控制和監(jiān)督工作����。ESG數(shù)據(jù)表明,如今企業(yè)高管和董事會(huì)的參與度和網(wǎng)絡(luò)安全需求都要遠(yuǎn)勝以往�。這迫使CISO和信息安全團(tuán)隊(duì)收集和分析更多的網(wǎng)絡(luò)風(fēng)險(xiǎn)數(shù)據(jù),并以業(yè)務(wù)友好型方式將其呈現(xiàn)給用戶���。數(shù)據(jù)表明�,這已經(jīng)推動(dòng)了一種新的����、更全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理模式的出現(xiàn)。
網(wǎng)絡(luò)安全支出持續(xù)增加�,但也出現(xiàn)越來(lái)越多的限制。網(wǎng)絡(luò)安全預(yù)算每年都在增長(zhǎng)����,并且這種趨勢(shì)還會(huì)持續(xù)下去。事實(shí)上��,企業(yè)高管們確實(shí)愿意增加支出以保護(hù)他們的組織���,但同時(shí)他們也希望更好地了解他們的錢究竟花到了什么地方?獲得了哪些投資回報(bào)?
例如�,如果預(yù)算增加�����,也就是CISO明年要求120萬(wàn)美元網(wǎng)絡(luò)安全支出而不是原計(jì)劃的100萬(wàn)美元���,那么首席財(cái)務(wù)官(CFO)就會(huì)希望了解這筆錢用到了哪些地方?企業(yè)為此獲得了哪些額外保護(hù)?企業(yè)高管���、GRC經(jīng)理和網(wǎng)絡(luò)安全專業(yè)人員正試圖通過(guò)使用模糊指標(biāo)分析不完整數(shù)據(jù)來(lái)弄清楚如何衡量網(wǎng)絡(luò)安全支出的投資回報(bào)率。這里迫切需要改進(jìn)�����。
所有網(wǎng)絡(luò)風(fēng)險(xiǎn)管理投入都在快速增長(zhǎng),基本的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理公式如下所示:
所以�����,這就是問(wèn)題所在——所有的一切都在迅速增長(zhǎng)�����。整體攻擊面(即設(shè)備��、數(shù)據(jù)�、基于云的工作負(fù)載、應(yīng)用程序等)正在增長(zhǎng)�����,從而導(dǎo)致更多的安全漏洞����。例如,ESG研究中的一大亮點(diǎn)就是�,各組織業(yè)務(wù)合作伙伴對(duì)第三方風(fēng)險(xiǎn)管理的需求日益增長(zhǎng),以防止發(fā)生類似OPM和Target的間接攻擊事件��。
與此同時(shí),威脅也正變得更具針對(duì)性和復(fù)雜性���。就其產(chǎn)生的后果而言����,企業(yè)將需要處理更多的風(fēng)險(xiǎn)類型�����,包括財(cái)務(wù)風(fēng)險(xiǎn)����、操作風(fēng)險(xiǎn)以及聲譽(yù)風(fēng)險(xiǎn)等等��。將所有這些變化疊加在一起��,網(wǎng)絡(luò)風(fēng)險(xiǎn)管理工作量就會(huì)不斷增加并且變得更為專業(yè)化����,而不良的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理實(shí)踐所造成的后果必然是高風(fēng)險(xiǎn)、高成本的���。
根本不存在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理基準(zhǔn)這樣的事情�����。風(fēng)險(xiǎn)管理任務(wù)——例如漏洞掃描�、第三方風(fēng)險(xiǎn)審計(jì)以及滲透測(cè)試等——始終都是以定期(每月一次、每季度一次�����、每年多次等)和獨(dú)立的方式進(jìn)行���。通常而言�����,這些活動(dòng)是由審計(jì)師���、法律法規(guī)甚至業(yè)務(wù)合作伙伴進(jìn)行指導(dǎo),而不是任何具有凝聚力和整體性風(fēng)險(xiǎn)管理策略進(jìn)行指導(dǎo)�����。
這就是該方法的問(wèn)題所在——一切都在不斷變化��,網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的每個(gè)方面都是相互關(guān)聯(lián)的��。因此,當(dāng)一件事發(fā)生變化時(shí)�����,它就會(huì)影響其他一切�。您如何做到在任何時(shí)間點(diǎn)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理進(jìn)行基準(zhǔn)測(cè)試?答案是您不能!這也就意味著,我們必須接受這種認(rèn)識(shí)�,并努力進(jìn)行持續(xù)的風(fēng)險(xiǎn)管理測(cè)量。
該研究為我們描繪了一幅清晰的圖景:網(wǎng)絡(luò)風(fēng)險(xiǎn)管理對(duì)于管理人員來(lái)說(shuō)變得越來(lái)越重要��,但對(duì)于CISO和網(wǎng)絡(luò)安全團(tuán)隊(duì)來(lái)說(shuō)則更為困難�����。
顯然�����,當(dāng)前的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理模式已被打破�,必須做出改變����,而這種變化很快就會(huì)出現(xiàn)在我們面前。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全�����、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)����、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”����、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面��、可信的方案�����,業(yè)務(wù)涵蓋咨詢�、評(píng)估、規(guī)劃�、管控、建設(shè)���、培訓(xùn)等��。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商����。
