网络攻击面激增、漏洞数量庞大、威胁场景复杂、业务新需求等诸多因素都在呼唤新的网络风险管理模型的产生和应用.当前的网络风险管理模式显然无法适应时代发展的需要。虽然网络风险管理对于企业高管来说比以往任何时候都更加重要,但CISO和网络安全团队想要有效实施网络风险管理变得更加困难。即将发布的新ESG研究表明,过去行之有效的网络风险管理模型不再是一种选择,以下是部分研究结果的总结:业务经理的参与度比以往任何时候都高。几年前,企业高管的目标并不是获得真正强大的安全性,他们想要的只是足够好的安全性。当时的安全专业人士对这些未充分利用的网络安全工作感到遗憾和迷失,他们迫切需要一位具有网络安全专业知识的CEO,他可以真正投资于强大的网络安全控制和监督。ESG数据显示,如今企业高管和董事会比以往任何时候都更多地参与和需要网络安全。这迫使CISO和信息安全团队收集和分析更多的网络风险数据,并以业务友好的方式将其呈现给用户。数据表明,这促使出现了一种新的、更全面的网络风险管理模型。网络安全支出持续增加,但限制也越来越多。网络安全预算每年都在增长,而且这一趋势将持续下去。事实上,企业高管确实愿意花更多的钱来保护他们的组织,但同时他们也想更清楚地了解他们的钱都去了哪里?投资回报率如何?例如,如果预算增加,那么CISO如果明年需要120万美元的网络安全支出而不是计划的100万美元,首席财务官(CFO)会想知道这笔钱花在了哪里?公司为此获得了哪些额外保护?公司高管、GRC经理和网络安全专业人士正试图通过使用模糊指标分析不完整的数据来弄清楚如何衡量网络安全支出的投资回报率。这里迫切需要改进。所有网络风险管理投资都在快速增长,基本的网络风险管理公式如下所示:所以,这就是问题所在——一切都在快速增长。整体攻击面(即设备、数据、基于云的工作负载、应用程序等)正在扩大,导致更多的安全漏洞。例如,ESG研究的一个亮点是组织的业务合作伙伴越来越需要第三方风险管理,以防止像OPM和Target这样的间接攻击。与此同时,威胁变得更具针对性和复杂性。就后果而言,企业将需要应对更多类型的风险,包括财务风险、运营风险和声誉风险等。将所有这些变化加在一起,网络风险管理的工作量将不断增加并变得更加专业,而网络风险管理实践不佳的后果必然是高风险和高成本。网络风险管理没有基准之类的东西。风险管理任务——如漏洞扫描、第三方风险审计和渗透测试——总是定期(每月一次、每季度一次、每年多次等)并以孤立的方式执行。通常,这些活动受审计师、法律法规甚至业务合作伙伴的指导,而不是任何有凝聚力的整体风险管理策略。这就是这种方法的问题——一切都在不断变化,网络风险管理的各个方面都是相互关联的。因此,当一件事发生变化时,它会影响其他一切。您如何在任何时间点对网络风险管理进行基准测试?答案是你不能!这意味着我们必须接受这一认识并努力进行持续的风险管理衡量。该研究描绘了一幅清晰的画面:网络风险管理对高管来说变得越来越重要,但对CISO和网络安全团队来说却越来越困难。很明显,当前的网络风险管理模式已被打破,必须做出改变,而这种改变很快就会到来。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
