数据泄露、勒索软件以及其他类型的网络攻击行为,已经为全球各地的企业造成了不可估量的损害,例如,无法挽回的声誉损失(如Equifax)、收并购价格的大幅缩水(如雅虎)亦或是全球范围内的业务中断(如NotPetya勒索软件受害者)等。
不过好消息是,日益严峻的威胁场景也顺利地将网络安全问题从服务器机房推到了董事会的关注议程中。
此外,为了进一步推动企业对网络安全问题的关注,监管机构也正在积极推动网络安全议程,并对未及时修复安全漏洞和未能保护客户数据的企业采取更为严厉和强硬的态度。例如,根据欧盟《通用数据保护条例》(GDPR)规定,公司必须在72小时内向当局报告任何违反个人数据的行为,如果未能遵守,将面临高达 2000万欧元或 4%年营业额的罚款(取较高者)。
可以这样说,如今,网络安全风险已经等同于整个企业业务风险。一旦企业遭受网络攻击,必然会对其整体业务造成无可估量的影响,不仅业务能否正常开展成为问题,还要为此承受沉重的经济损失(包括罚款、事件响应及修复成本、业务中断损失、客户补偿等等)。
对于首席信息安全官和其他网络安全专业人员来说,网络安全问题成功升级至董事会议程,也可以帮助他们在董事会和C级高管会议中获取一定的话语权,并获得他们想要的资源和支持。不过,对于那些尚未做好准备的信息安全专业人士而言,董事会对网络安全问题的重视将为他们造成不少的负担。试想一下,作为信息安全专业人士的你,现在已经成功取得了公司高层的关注,但是,你能有效地与他们进行沟通吗?你有能力成为一名“业务一致型”(business-aligned)的首席信息安全官吗?
现在,让我们站在企业C级高管和董事会的角度来思考这个问题,看看网络风险对于他们究竟意味着什么:
首先,他们认为网络风险只是开展业务的另一项成本,而且他们正在关注许多企业正在面临的网络风险。网络安全并不是一个特殊的“臭鼬工厂”(SkunkWorks,借指担任秘密研究计划的地方)。当然,它是一个需要大量技术专长的领域,但运营、财务以及其他业务部门也是如此。
其次,他们习惯将风险呈现为金钱概念的“损失风险”。无论是市场风险、信用风险还是企业风险管理的其他组成部分,其他业务部门都能将这些风险可能造成的损失换算成一连串美元金额。通过这些数字,决策者可以设定“风险偏好”,即自己能够承受的“损失风险”程度,并通过一系列举措来控制这些“损失数字”,例如投入更多控制措施,购买保险等等。
现在,再让我们站在信息安全团队的角度来看这个问题,得到的观点可能会完全不同。
事实上,信息安全专业人员的观点通常是“以IT为中心”而非“以业务为导向”的观点。在他们看来,网络安全风险可以通过成熟度评级来完成:例如,与IT行业最佳实践清单进行对比——假设“达标”的条件越多便意味着风险越低;或是与IT行业其他人在安全方面的花费进行对比——假设花费更多的便意味着风险更低。一些风险评级甚至可能基于信息风险团队的直觉/经验——这些评级通常被标记为“中等”、“高/低危”,或是被称为“补丁”、“漏洞”或IT以外的人所不理解的其他术语。
很显然,这些专业性过强的评级,都不是与高级管理层或董事会进行有效沟通的合适工具,因为他们没有按照其他业务部门能够理解的方式来谈论风险。
一些网络安全专家仍然坚持,从财务角度来衡量网络风险是不可能的。但目前,这种坚硬的态度正在日渐消退。最近,全球分析公司Gartner就将“风险量化”列为其“运营综合网络风险管理计划的5大必备条件”之一。
衡量和量化风险的一种方法就是使用标准的信息风险因子分析(Factor Analysis of Information Risk,简称FAIR)模型,该模型主要以财务术语来评估信息风险。这种方法可以通过从公司和行业来源收集有关网络安全事件的数据,然后将不同类型的风险呈现为相应的财务价值;同时,它也可以通过Monte Carlo模拟引擎运行数据,再以财务形式生成损失风险值。
就信息风险因子分析(FAIR)模型而言,风险是未来损失的可能程度和可能频率。等式的两边(即程度和频率)都很重要。高程度且低频率的可能是低风险;高频率且低程度的可能会是高风险。
想要将业务与损失风险条款中的网络风险保持一致的话,您需要采取下述一些步骤。
1. 了解业务的最大收益在哪里,以及它是如何创造出最大价值的;进而了解在网络攻击事件中遭受财务影响最严重的地方是哪里。
通常来说,电子商务的业务中断,计划、设计或其他知识产权被盗、从数据库中泄露机密的客户信息,这些都会导致销售损失、市场份额损失、法律费用、劳动力成本等等。事实上,只需通过询问您的财务、人力资源、法律或运营部门,或是通过行业报告进行扩充,这些损失都是可以量化的。
2. 了解造成损失的可能性网络事件的类型和发生频率。
您的安全运营中心(SOC)或记录网络故障的部门将帮助您了解这些历史网络攻击事件发生的事件和地点。将这些信息与威胁情报供应商和行业报告(如Verizon数据泄露调查报告)相结合,将为您的企业提供有关未来网络攻击的相关预测和建议。