CISO們深知風險管理對于建立和維持企業(yè)安全的韌性至關(guān)重要，然而，盡管他們盡了最大的努力并懷有良好的意圖，許多安全領(lǐng)導者仍然會陷入常見的陷阱，從而削弱了他們的最佳努力。

無論企業(yè)的規(guī)模、使命或范圍如何，風險管理在整體安全態(tài)勢中都扮演著基礎(chǔ)性角色，即便是看似簡單的錯誤也可能帶來嚴重后果，而CISO不可避免地會因此被指責。

以下是CISO在風險管理中常犯的錯誤及如何避免它們的詳細介紹。

1. 缺乏明確的目標

CISO最常犯的風險管理錯誤之一就是未能創(chuàng)建一個明確的項目目標，Deloitte(德勤)網(wǎng)絡(luò)業(yè)務(wù)咨詢部門的負責人Kristi Preuss表示。

Preuss觀察到，許多CISO每天都在應(yīng)對各種持續(xù)存在的問題和突發(fā)事件。因此，他們始終處于“救火模式”，沒有時間去制定或成功實施一個更廣泛的信息安全戰(zhàn)略。她說：“相反，許多CISO一上任就陷入細節(jié)中，試圖一次性處理所有問題，往往只能依賴遺留工具和有限的資源。”

當CISO陷于這種被動和操作性的工作方式時，企業(yè)戰(zhàn)略就會受到影響，企業(yè)的安全控制也很難跟上并超越當前的威脅態(tài)勢。Preuss指出：“如果項目目標過時或定義不清，戰(zhàn)略投資有限，缺乏創(chuàng)新的戰(zhàn)略規(guī)劃，CISO不僅讓企業(yè)受到了損害，還最終增加了信息安全和網(wǎng)絡(luò)風險?！?/p>

Preuss建議，那些希望擺脫困境、回歸戰(zhàn)略領(lǐng)導地位并采取主動安全策略的CISO應(yīng)當部署常規(guī)化的操作性風險流程。她還建議減少關(guān)鍵團隊成員花費在可以由非關(guān)鍵人員處理的日常任務(wù)上的時間。

2. 過度進行安全和風險評估

許多CISO構(gòu)建了過于控制導向的安全和風險管理項目，導致幾乎不斷地進行風險評估，總是試圖發(fā)現(xiàn)新的問題來解決。Google Cloud(谷歌云)CISO辦公室全球負責人Nick Godfrey警告說。

“盡管最初進行風險評估對減輕風險是有幫助的，但長期來看，這變得不再具有生產(chǎn)力，導致一個無休止的循環(huán)，產(chǎn)生不成比例的成本，并錯失資源可以更好地投入其他地方的機會。”他表示。

Godfrey指出，CISO通常想要應(yīng)對組織可能面臨的每一個風險，往往是在董事會的壓力下，推動安全領(lǐng)導者變得過于謹慎?！斑@導致建立了‘硬編碼’的風險項目，唯一的做法是優(yōu)先進行持續(xù)的風險評估和緩解措施。”他說。

這種被動的思維方式可能會掩蓋對更具戰(zhàn)略性方法的需求，這種方法應(yīng)考慮到風險對人員、產(chǎn)品和財務(wù)的潛在影響。此外，心理因素也可能導致個人或團隊在風險評估方面表現(xiàn)不佳。

Godfrey表示，正確的風險管理方法是一個整體性的方法，既要保持適當?shù)娘L險水平，又不需要持續(xù)進行緩解工作，從而可以根據(jù)需要更合理地重新分配資源。

他說：“擁有最佳安全態(tài)勢的組織不僅僅是保持低風險，還會花費額外的時間來提高效率和能力，以進一步降低風險?！?/p>

Godfrey建議優(yōu)化風險控制的安排，以減少所需的控制數(shù)量，自動化活動以減少維護和管理負擔，并通過強有力的欺詐預防方法改善客戶體驗。

3. 未能建立真正的安全文化

文化是信念、價值觀和行為的綜合體，因此，網(wǎng)絡(luò)安全文化主要由組織內(nèi)部的人所推動。NCC Group(NCC集團)網(wǎng)絡(luò)安全和托管服務(wù)公司的風險管理和治理技術(shù)總監(jiān)Sourya Biswas表示，建立這種文化的最佳方式是通過實際行動來展示，而不僅僅是通過宏偉的使命聲明或華麗的演示。

他指出：“一個能夠堅持正確的安全信念、共享正確的安全價值觀并激勵正確安全行為的企業(yè)，能夠建立起正確的企業(yè)級網(wǎng)絡(luò)安全文化。沒有正確的文化，再好的安全策略也會失敗。”

由于網(wǎng)絡(luò)安全文化主要由人來驅(qū)動，它應(yīng)該由企業(yè)最高層的領(lǐng)導來示范，Biswas表示?！皳Q句話說，這不應(yīng)該是安全組織的責任，而是整個高管團隊和董事會的責任。”他認為，最高層的態(tài)度對于培養(yǎng)有意義的網(wǎng)絡(luò)安全文化至關(guān)重要。如果員工看到領(lǐng)導層不踐行他們所倡導的原則，他們也很可能會效仿。

他總結(jié)道：“最終，企業(yè)中的每個人都有責任促進網(wǎng)絡(luò)安全文化。”

4. 認為他們的安全比實際情況更牢固

CISO犯的最大錯誤是認為他們已經(jīng)獲得了完全的控制權(quán)，依賴他們的安全計劃，并將信心寄托于一系列行業(yè)認證，認為這些可以保護他們的企業(yè)免受網(wǎng)絡(luò)威脅。Radware網(wǎng)絡(luò)安全技術(shù)提供商的CISO Howard Taylor指出，網(wǎng)絡(luò)安全復雜且不斷演變，總會有新的攻擊者、新的攻擊方式，或者舊攻擊的新變種?！氨３志韬蜏蕚涫俏ㄒ徽嬲芾盹L險的方式?！?/p>

網(wǎng)絡(luò)安全需求隨著時間的推移而變化。Taylor警告說：“如果你沒有定期改進和驗證你的控制環(huán)境，你會發(fā)現(xiàn)你的企業(yè)處于無保護狀態(tài)?！蓖{態(tài)勢處于持續(xù)變化之中，初次實施時被認為強大的安全解決方案，隨著時間的推移會變得脆弱?！澳呐轮皇且恍《螘r間放松警惕，都可能付出巨大的代價。”

更糟糕的是，CISO常常基于一種虛假的安全感做出決策，Taylor表示。他們花費了大量的資金和時間來改進網(wǎng)絡(luò)安全防御和培訓團隊，認為不可能達不到完全的保護。

“實際上，對于‘我們是否安全?’這個問題，唯一真正的答案應(yīng)該永遠是相同的——一個響亮的‘不’?！彼f。

5. 打勾式的風險管理方式

ISG(ISG技術(shù)研究和咨詢公司)的數(shù)字技術(shù)研究主管Jeff Orr表示，CISO們通常專注于確保符合法規(guī)和標準，而不是評估和管理他們的企業(yè)面臨的實際風險。

“這可能源于一種誤解，即合規(guī)等同于安全，”他表示，并補充道，這種誤解可能導致一種打勾式的心態(tài)，使企業(yè)只專注于符合法規(guī)要求，卻忽視了評估和緩解現(xiàn)實世界中的威脅?！敖Y(jié)果是，漏洞可能持續(xù)存在，導致本可以通過更具戰(zhàn)略性、基于風險的方法避免的泄露和數(shù)據(jù)丟失?！?/p>

Orr表示，隨著時間的推移，CISO可能會變得自滿，依賴既定的安全協(xié)議，而不重新評估其有效性或適應(yīng)新風險?！耙环N被動的‘打地鼠’式方法是不可持續(xù)的，它可能導致過時的安全政策和控制，無法應(yīng)對當前的威脅?！?/p>

6. 未能建立有效的衡量指標和治理模型

安全策略公司Tufin的現(xiàn)場CTO Erez Tadmor建議，CISO應(yīng)平衡其安全工具與強有力的、持續(xù)的衡量和治理模型?！巴ㄟ^優(yōu)先開發(fā)并定期審查這些框架，CISO可以顯著增強組織的安全態(tài)勢?！彼硎?。

有效的衡量指標和治理模型將有助于確保安全政策始終與法規(guī)要求、行業(yè)最佳實踐以及企業(yè)的特定需求保持一致。Tadmor表示：“清晰且持續(xù)的可見性使團隊能夠在錯誤配置導致安全漏洞之前發(fā)現(xiàn)問題。沒有強有力的衡量指標和治理，衡量安全舉措的成功以及保持最新、有效的政策將變得非常困難。”

7. 未能創(chuàng)建強有力的運營彈性計劃

Semperis安全技術(shù)提供商的CISO Jim Doggett表示，運營彈性計劃從全局出發(fā)，涵蓋整個企業(yè)的生態(tài)系統(tǒng)，展示在破壞性事件期間如何維持業(yè)務(wù)運作?！巴ㄟ^優(yōu)先考慮運營彈性，CISO可以在應(yīng)對關(guān)鍵安全風險的同時平衡業(yè)務(wù)連續(xù)性管理?！?/p>

Doggett說，通過細致的規(guī)劃，企業(yè)可以減少中斷，快速恢復，并在遭遇攻擊時減少對企業(yè)利潤的影響?！叭绻麤]有運營彈性計劃，你的整個生態(tài)系統(tǒng)，包括供應(yīng)商、合作伙伴和供應(yīng)鏈，都會面臨風險?！?/p>

然而，運營彈性工作往往會在企業(yè)內(nèi)部缺乏協(xié)調(diào)時失敗。“作為企業(yè)的領(lǐng)導者，CISO負責推動安全舉措，但運營彈性需要整個組織的參與，”Doggett表示，“你不能僅僅把它交給某個部門或團隊，所有人都需要參與其中?！?/p>