開發十年，就只剩下這套架構體系了！ >>>   

幾年前，網路安全人員常常哀嘆經理們根本不想要真正的安全，他們只想要“夠好”的安全。這種說法反映出很多CEO都將網路安全等同於合規。他們似乎認為，只要CISO能夠搞定PCI、HIPAA或SOX合規，網路安全問題就得到了解決。

那種只求“夠好”的安全態度受到了網路安全人員的反感。想要好好保護企業資產的CISO們渴求業務高管能夠真正理解網路風險，並願意積極參與和大力支援網路風險管理工作。

但俗話說得好，人心不足蛇吞象：2019年，業務高管們全都參與了進來，結果卻是給網路安全團隊製造了大麻煩。

企業戰略集團(ESG)最近剛剛對340位網路安全、IT和風險人員做了關於網路風險管理方面的調查。受訪者需指出對業務高管和企業董事來說最重要的網路風險指標。票選出來的四大業務面重點反映出業務需求與技術能力上的巨大鴻溝。

39%的受訪者想要與主要業務和IT專案有關的安全狀態報告。換句話說，他們想要了解與端到端業務過程相關的網路風險，而不是具體的 Windows PC、DNS伺服器或軟體漏洞。網路安全團隊需更好地將極客資料翻譯成業務指標。

36%的受訪者想要知道與IT審計相關的狀態及響應。這不是什麼新要求。但業務人員想要的不僅僅是斷斷續續的報告，他們想要的是能夠指導及時風險緩解決策的常態化更新。為滿足這一需求，CISO必須努力實現持續風險管理分析。

36%的受訪者想要針對與其他資料相關的環境漏洞的報告。沒錯，業務人員關注有漏洞的資產，但他們真的不想看到滿是軟體漏洞細節的報告。他們更想了解任務關鍵資產是否容易遭到已知漏洞利用的攻擊，以便能夠重點安排諸如系統修復、流量分隔、訪問限制等緩解措施。換句話說，網路安全團隊的漏洞報告應重質量而不是數量。

35%的受訪者想要更具體的安全開支投資回報。ESG的其他研究顯示，58%的公司企業計劃在2019年增加網路安全開支。很明顯，高管們願意支援網路安全專案，但他們同時也想更加了解自己花出去的錢都有些什麼回報。安全開支投資回報的計算並不容易，但CISO必須設法將網路安全開支以業務、人力資源和技術術語表述清楚，讓公司企業能夠據此調整預算，在恰當的時候把錢用在正確的地方。

業務高管很怕自己公司被掛上下一個資料洩露新聞頭條，所以他們比以往更願意加強網路安全投資，以確保這種事情不會發生。他們從安全團隊得到的回報是什麼呢？算表和及時的指標，以便能夠實時調整風險管理策略。但遺憾的是，大多數CISO(和首席風險官)並沒有能夠滿足這一需求的過程和指標。

CISO需帶著業務思維與高管團隊合作，以成本有效的方式在恰當的時間保護正確的資產。
這一網路風險管理上的空白代表著需立即加以關注的重要問題。CISO必須採納新的工具和網路風險管理方法論，比如資訊風險因素分析(FAIR)。鑑於很多網路安全經理並不具備合適的技術或資源，他們或許會想借助 Unisys TrustCheck 之類網路風險管理服務的幫忙。

無論如何，CISO必須儘快轉換思路。只要不確定自己的投資是有效還是打水漂，業務高管就不會繼續往網路安全上砸錢。CISO需帶著業務思維與高管團隊合作，以成本有效的方式在恰當的時間保護正確的資產。

原文來自：https://www.secrss.com/articles/8712

本文地址：https://www.linuxprobe.com/network-risk-management.html編輯：馮瑞濤，稽核員：逄