业务经理想要得到实时网络风险管理指标,但网络安全团队只能交付技术数据和阶段性报告。这中间的空白需要得到填补。
几年前,网络安全人员常常哀叹经理们根本不想要真正的安全,他们只想要“够好”的安全。这种说法反映出很多CEO都将网络安全等同于合规。他们似乎认为,只要CISO能够搞定PCI、HIPAA或SOX合规,网络安全问题就得到了解决。
那种只求“够好”的安全态度受到了网络安全人员的反感。想要好好保护企业资产的CISO们渴求业务高管能够真正理解网络风险,并愿意积极参与和大力支持网络风险管理工作。
但俗话说得好,人心不足蛇吞象:2019年,业务高管们全都参与了进来,结果却是给网络安全团队制造了大麻烦。
企业战略集团(ESG)最近刚刚对340位网络安全、IT和风险人员做了关于网络风险管理方面的调查。受访者需指出对业务高管和企业董事来说最重要的网络风险指标。票选出来的四大业务面重点反映出业务需求与技术能力上的巨大鸿沟。
业务高管很怕自己公司被挂上下一个数据泄露新闻头条,所以他们比以往更愿意加强网络安全投资,以确保这种事情不会发生。他们从安全团队得到的回报是什么呢?算表和及时的指标,以便能够实时调整风险管理策略。但遗憾的是,大多数CISO(和首席风险官)并没有能够满足这一需求的过程和指标。
CISO需带着业务思维与高管团队合作,以成本有效的方式在恰当的时间保护正确的资产。
这一网络风险管理上的空白代表着需立即加以关注的重要问题。CISO必须采纳新的工具和网络风险管理方法论,比如信息风险因素分析(FAIR)。鉴于很多网络安全经理并不具备合适的技术或资源,他们或许会想借助 Unisys TrustCheck 之类网络风险管理服务的帮忙。
无论如何,CISO必须尽快转换思路。只要不确定自己的投资是有效还是打水漂,业务高管就不会继续往网络安全上砸钱。CISO需带着业务思维与高管团队合作,以成本有效的方式在恰当的时间保护正确的资产。