CISO們應(yīng)該了解保險(xiǎn)公司和金融風(fēng)險(xiǎn)專業(yè)人員是如何評(píng)估網(wǎng)絡(luò)安全成熟度的?
網(wǎng)絡(luò)安全成熟度的評(píng)估因利益相關(guān)者而異,有效的項(xiàng)目必須考慮到這些不同的視角。金融風(fēng)險(xiǎn)專業(yè)人員從企業(yè)風(fēng)險(xiǎn)管理(ERM)的角度來評(píng)估,考量網(wǎng)絡(luò)風(fēng)險(xiǎn)如何被識(shí)別、緩解,以及如何與財(cái)務(wù)、運(yùn)營(yíng)和監(jiān)管影響保持一致,另一方面,網(wǎng)絡(luò)責(zé)任保險(xiǎn)公司則基于對(duì)網(wǎng)絡(luò)安全事件的暴露程度來評(píng)估成熟度,使用自我評(píng)估、第三方評(píng)估、外部掃描、文件審查,有時(shí)還有訪談來估算事件發(fā)生的可能性和成本。
好消息是:將你的項(xiàng)目與一個(gè)可信、開放的框架(如ISO 27001或NIST網(wǎng)絡(luò)安全框架)保持一致,有助于彌合這些不同的視角,這能讓你展示出一個(gè)主動(dòng)的安全態(tài)勢(shì),減少與ERM相關(guān)的擔(dān)憂,并可能獲得保險(xiǎn)激勵(lì)——同時(shí)使用一種能讓風(fēng)險(xiǎn)、安全和高層管理人員產(chǎn)生共鳴的通用語言。
同樣(有時(shí)甚至更為)重要的是,采用基于框架的方法,特別是通過ISO 27001、HITRUST或SOC 2等第三方認(rèn)證來驗(yàn)證時(shí),能增強(qiáng)與你最關(guān)鍵的受眾——即你的客戶之間的信任。
CISO們以財(cái)務(wù)或商業(yè)術(shù)語向非技術(shù)高管傳達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的最有效方式是什么?
我們常見的一個(gè)挑戰(zhàn)是缺乏正式的ERM程序,或者風(fēng)險(xiǎn)職能的碎片化,其中企業(yè)、網(wǎng)絡(luò)安全和第三方風(fēng)險(xiǎn)使用不同的影響標(biāo)準(zhǔn)進(jìn)行評(píng)估,這種缺乏一致性的情況使得CISO們難以與高層管理人員和董事會(huì)進(jìn)行有效溝通,標(biāo)準(zhǔn)化風(fēng)險(xiǎn)程序并使用一致的影響標(biāo)準(zhǔn),能使風(fēng)險(xiǎn)比較更加清晰,共享理解更加深入,決策也更具戰(zhàn)略性。
隨著AI特定法規(guī)和框架的興起,包括NIST AI風(fēng)險(xiǎn)管理框架、歐盟AI法案、紐約市偏見審計(jì)法以及科羅拉多州人工智能法案,這一挑戰(zhàn)進(jìn)一步加劇。AI并不完全屬于一個(gè)單一的風(fēng)險(xiǎn)類別;它橫跨企業(yè)、網(wǎng)絡(luò)和第三方領(lǐng)域。因此,建立一個(gè)有效的AI風(fēng)險(xiǎn)管理項(xiàng)目需要一個(gè)協(xié)調(diào)的、跨職能的方法,該方法要與更廣泛的ERM戰(zhàn)略相整合。
前瞻性的企業(yè)是如何將網(wǎng)絡(luò)安全融入其整體企業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略中的,CISO在塑造這種整合方面扮演著什么角色,特別是在那些網(wǎng)絡(luò)安全歷史上被視為孤立IT問題的行業(yè)中?
網(wǎng)絡(luò)安全傳統(tǒng)上被視為一個(gè)“價(jià)值保全”的職能,專注于風(fēng)險(xiǎn)緩解,然而,前瞻性的CISO們認(rèn)識(shí)到,一個(gè)成熟、戰(zhàn)略性的安全項(xiàng)目也能通過支持創(chuàng)新/數(shù)字化轉(zhuǎn)型和建立利益相關(guān)者信任來推動(dòng)“價(jià)值創(chuàng)造”,當(dāng)與組織的戰(zhàn)略目標(biāo)保持一致時(shí),網(wǎng)絡(luò)安全就成為了商業(yè)的推動(dòng)者,打破了孤立,并將CISO提升為了真正的戰(zhàn)略領(lǐng)導(dǎo)者。
不幸的是,許多企業(yè),特別是制造業(yè)中的企業(yè),在采用這種思維方面較為遲緩。在這個(gè)行業(yè)中,網(wǎng)絡(luò)安全歷史上一直處于次要地位,而現(xiàn)在正面臨著嚴(yán)重的后果。國(guó)防工業(yè)基地(DIB)供應(yīng)商可能因延遲CMMC合規(guī)努力而失去現(xiàn)有合同或被取消新機(jī)會(huì)的資格,這通常需要12到18個(gè)月才能完成。同樣,汽車供應(yīng)鏈制造商也面臨著TISAX認(rèn)證成為基準(zhǔn)要求的壓力。
教訓(xùn)是明確的:網(wǎng)絡(luò)安全不再是可選的,它需要積極主動(dòng),而不是被動(dòng)應(yīng)對(duì)。它是一個(gè)戰(zhàn)略差異點(diǎn),那些不采取行動(dòng)的組織可能會(huì)落后。
CISO們應(yīng)該如何與CFO或風(fēng)險(xiǎn)委員會(huì)就網(wǎng)絡(luò)風(fēng)險(xiǎn)容忍度進(jìn)行對(duì)話,特別是在為安全投資辯護(hù)時(shí)?
使用清晰、與業(yè)務(wù)保持一致的風(fēng)險(xiǎn)術(shù)語(如高、中、低)來傳達(dá)安全投資,并使用既定的影響標(biāo)準(zhǔn)(如財(cái)務(wù)暴露、運(yùn)營(yíng)中斷、聲譽(yù)損害和客戶影響)來辯護(hù)支出,并使其與企業(yè)的優(yōu)先級(jí)保持一致,這會(huì)顯著簡(jiǎn)化辯護(hù)過程。
例如:“為擬議的安全監(jiān)控工具提供資金對(duì)于實(shí)現(xiàn)CMMC認(rèn)證至關(guān)重要,這直接支持了我們?cè)趪?guó)防工業(yè)基地中2027年500萬美元的收入目標(biāo)。”
在我們的虛擬CISO參與中,我們發(fā)現(xiàn)基于風(fēng)險(xiǎn)、以結(jié)果為導(dǎo)向的方法對(duì)于執(zhí)行領(lǐng)導(dǎo)層來說非常有效。我們以財(cái)務(wù)和運(yùn)營(yíng)術(shù)語來界定網(wǎng)絡(luò)風(fēng)險(xiǎn)容忍度,量化擬議投資的業(yè)務(wù)價(jià)值,并將安全舉措直接與戰(zhàn)略目標(biāo)聯(lián)系起來。我們盡量減少技術(shù)術(shù)語的使用,強(qiáng)調(diào)權(quán)衡,并向領(lǐng)導(dǎo)層呈現(xiàn)清晰、決策就緒的選項(xiàng),這些選項(xiàng)既反映了行動(dòng)的成本和后果,也反映了不行動(dòng)的成本和后果。
CBIZ與許多中型企業(yè)合作。與大型企業(yè)相比,它們對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的看法有何不同,你在該領(lǐng)域看到了哪些獨(dú)特的風(fēng)險(xiǎn)管理盲點(diǎn)或機(jī)會(huì)?
中型企業(yè)往往缺乏內(nèi)部資源或?qū)I(yè)知識(shí)來領(lǐng)先于新興的網(wǎng)絡(luò)安全、隱私和AI相關(guān)風(fēng)險(xiǎn)及法規(guī)。后果可能很嚴(yán)重,從數(shù)據(jù)泄露和監(jiān)管處罰到錯(cuò)失市場(chǎng)機(jī)會(huì)。
這一挑戰(zhàn)為中型企業(yè)和服務(wù)提供商都創(chuàng)造了戰(zhàn)略機(jī)會(huì):提供按需的虛擬服務(wù),這些服務(wù)能夠以全職員工成本的一小部分來提供CISO、數(shù)據(jù)隱私官、CIO和法律能力,這些模式能夠?qū)崿F(xiàn)更快的合規(guī)、更強(qiáng)的韌性和更敏捷的風(fēng)險(xiǎn)管理。
企業(yè)網(wǎng)D1net(m.hfnxjk.com):
國(guó)內(nèi)頭部to B IT門戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)