Heatmap Vector CISO Rick 風險管理 CSO

剖析商務風險指數 供營運團隊擬定緩解決策

2018-06-28
高階管理層相當擔心遭受網路攻擊,且投入龐大費用來防治,但網路攻擊在多數董事會會議中仍然是個抽象的概念,令人鼓舞的是,這種狀況正在開始改變。資訊安全長(CSO或CISO)將加入董事會會議,把關於網路威脅風險的對話從以往抽象的描述,重新引導轉向針對商務造成重大風險的影響程度。
在網路安全領域有許多具說服力的人,可輕易地列舉十幾種不同的網路攻擊場景,足以讓任何董事會成員都感到恐慌。這些假想災難許多人可能已經聽了十多年甚至更長時間。

高階管理層相當擔心遭受網路攻擊,且投入龐大費用來防治。然而,即使企業對於資料防護的需求每年穩定增長,發展至今已有高達930億美元產業規模,但總體來看,網路攻擊在多數董事會會議中仍然是個抽象的概念。

從商務角度分析威脅風險

令人鼓舞的是,這種狀況正在開始改變。主要是真實被披露的資料外洩事件,在2016年與2017年攀升達到新高,未顯示出有緩解的跡象,促使美國紐約與科羅拉多州新制定了國家級規定,強制實施改善資料保護措施,將帶動更多類似的新法規發展。同時在歐洲,歐盟於五月開始實施修訂後的「通用資料保護條例(GDPR)」,更嚴格地規範數位資料隱私權,普遍提高消費者的權利,並且對違反法規者處以高額罰金。

資訊安全長(CSO或CISO)將加入董事會會議,把關於網路威脅風險的對話從以往抽象的描述,重新引導轉向針對商務造成重大風險的影響程度。例如,駭客行為主義者設法破壞了企業的官方網站,雖會讓企業感到尷尬卻不至於造成重大影響;但萬一駭客是竊取產品未來發展藍圖,以利用來建構更具競爭力的產品或影響市場決策,損害企業正常發展,將帶來重大影響。從商務風險的角度來分析才是最合適的方法。

此外,每一位資安從業人員皆應擔任先鋒的角色,讓人們開始接受這場戰鬥的吶喊。也就是說,必須要提出關於任何特定網路威脅的基本問題:對企業商務來說是否具有重要意義?因為若非如此,為什麼須要被探討?若屬於重大事項,究竟會有那些事情發生?更具體地說,未來三年是否可能出現?

對於重大風險的定義

大多數的董事會會議中,幾乎都會透過緩解風險的Heatmap(熱圖),列出高階管理層最擔心的10或15件事情,可能是執行長(CEO)突然辭職或不可抗力因素,比如說一場大地震摧毀了一座關鍵資料中心。難以歸類的「Cyber」通常在熱圖中被列在靠近末端,看起來太複雜且抽象,不容易指出Cyber相關的特定風險,但是卻足夠嚇人,使得無法將其排除。


▲資安長或資訊長影響力日趨提升,在董事會會議中以具體的風險指數說明危險性,可有效地協助營運核心層做出明智的風險緩解決策。

必須先釐清的是,Cyber並非風險而是種向量(Vector)。為了把風險納入熱圖,應該非常具體,並以高層管理者可理解的方式呈現,供高層管理者與董事會成員依據風險做出決策,Cyber也不例外。可惜到目前為止,全球的CISO並不擅長把技術風險轉化為商務風險。

所幸新興理論與工具已經開始扭轉態勢,資安管理者可更加精確地向董事會成員提出風險之所在。以往說法是「由於Cyber導致威脅事件發生的可能性極高」。如今則可轉換為「就整體資安狀況來看,我們有90%的把握,未來三年內,公司因為客戶資料庫被入侵成功而受到實質影響的機率為20%至40%」。

提供推測的數字,高層管理者才得以決定商務風險的處置方式。若為可接受,自然毋須作為;若無法接受,那麼CISO可提供緩解方案,來降低發生的機率。這類方法不僅強迫資安管理者著手評量,亦可提供領導者在可行的背景下做出明智的風險緩解決策。

CISO發揮影響力改善資安態勢

藉此發展風險容忍度的共識,可說是額外的好處,反映出一家公司的垂直部門與企業文化,例如,可以想像沃爾瑪(Walmart)的資安風險承受能力與美國國家稅務局(Internal Revenue Service)有很大不同。

CISO身為高階管理層的新面孔,在推動與加速這種剛剛起步的轉變中扮演著重要角色,必須持續地前進。或許多數企業仍舊未設立CISO的職位,由資安人員以技術為中心的角度向資訊長(CIO)報告,但CIO可能仍然對網路風險存在抽象的看法。

針對商務網路的攻擊持續兇猛,使得CISO的地位與影響力日益提高,相信採用重大風險方法來解決網路威脅的管理職,將引起高階管理層關注,並穩步推進組織安全態勢的改善。

<本文作者任職於Palo Alto Networks擔任首席資安長>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!