是時候采用新的網絡風險管理模式了
2018年12月17日
激增的網絡攻擊面���,龐大的漏洞量,復雜的威脅場景以及新的業務需求等諸多因素�����,都在呼吁新的網絡風險管理模型的出現和運用����。
當前所使用的網絡風險管理模式顯然已經無法適應時代的發展需求。雖然網絡風險管理對于企業高管而言比以往任何時候都更為重要����,但是鑒于不斷激增的攻擊面����,龐大的漏洞量以及復雜的威脅場景等因素�����,對于CISO和網絡安全團隊而言,想要有效地實現網絡風險管理卻變得更為困難。
即將發布的ESG最新研究表明��,過去發揮過作用的網絡風險管理模型如今已經不再是一種合適的選擇�,以下是部分調查結果提要:
企業管理者的參與程度遠遠超過以往。幾年前,企業高管的目標并不是獲取真正強大的安全性,他們想要的只是足夠好的安全性就夠了�。當時的安全專業人士對這些并未付諸全力的網絡安全工作感到遺憾和失落��,他們迫切渴望擁有具備網絡安全專業知識的首席執行官,能夠真正投資于強大的網絡安全控制和監督工作。ESG數據表明����,如今企業高管和董事會的參與度和網絡安全需求都要遠勝以往���。這迫使CISO和信息安全團隊收集和分析更多的網絡風險數據����,并以業務友好型方式將其呈現給用戶���。數據表明����,這已經推動了一種新的、更全面的網絡風險管理模式的出現���。
網絡安全支出持續增加,但也出現越來越多的限制。網絡安全預算每年都在增長���,并且這種趨勢還會持續下去。事實上,企業高管們確實愿意增加支出以保護他們的組織����,但同時他們也希望更好地了解他們的錢究竟花到了什么地方?獲得了哪些投資回報?
例如�����,如果預算增加�����,也就是CISO明年要求120萬美元網絡安全支出而不是原計劃的100萬美元�,那么首席財務官(CFO)就會希望了解這筆錢用到了哪些地方?企業為此獲得了哪些額外保護?企業高管���、GRC經理和網絡安全專業人員正試圖通過使用模糊指標分析不完整數據來弄清楚如何衡量網絡安全支出的投資回報率��。這里迫切需要改進����。
所有網絡風險管理投入都在快速增長,基本的網絡風險管理公式如下所示:
所以����,這就是問題所在——所有的一切都在迅速增長�����。整體攻擊面(即設備、數據、基于云的工作負載�、應用程序等)正在增長����,從而導致更多的安全漏洞�。例如,ESG研究中的一大亮點就是,各組織業務合作伙伴對第三方風險管理的需求日益增長,以防止發生類似OPM和Target的間接攻擊事件�。
與此同時�,威脅也正變得更具針對性和復雜性���。就其產生的后果而言�,企業將需要處理更多的風險類型,包括財務風險、操作風險以及聲譽風險等等。將所有這些變化疊加在一起�����,網絡風險管理工作量就會不斷增加并且變得更為專業化����,而不良的網絡風險管理實踐所造成的后果必然是高風險��、高成本的���。
根本不存在網絡風險管理基準這樣的事情��。風險管理任務——例如漏洞掃描、第三方風險審計以及滲透測試等——始終都是以定期(每月一次���、每季度一次、每年多次等)和獨立的方式進行����。通常而言����,這些活動是由審計師�����、法律法規甚至業務合作伙伴進行指導��,而不是任何具有凝聚力和整體性風險管理策略進行指導。
這就是該方法的問題所在——一切都在不斷變化����,網絡風險管理的每個方面都是相互關聯的�����。因此���,當一件事發生變化時���,它就會影響其他一切�。您如何做到在任何時間點對網絡風險管理進行基準測試?答案是您不能!這也就意味著,我們必須接受這種認識,并努力進行持續的風險管理測量。
該研究為我們描繪了一幅清晰的圖景:網絡風險管理對于管理人員來說變得越來越重要�����,但對于CISO和網絡安全團隊來說則更為困難����。
顯然,當前的網絡風險管理模式已被打破�,必須做出改變���,而這種變化很快就會出現在我們面前�����。
江蘇國駿信息科技有限公司在信息網絡安全���、運維平臺建設���、動漫設計���、軟件研發����、數據中心領域具備十多年的行業沉淀����。公司遵循信息安全整體性的IATF模型�����,從“人員素養”�、“制度流程”��、“技術產品”三個視角提供全面��、可信的方案,業務涵蓋咨詢、評估、規劃�、管控�、建設��、培訓等��。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。
