在當(dāng)今瞬息萬變的數(shù)字時代，網(wǎng)絡(luò)安全已經(jīng)成為每個組織的頭等大事。隨著技術(shù)的飛速發(fā)展和全球互聯(lián)程度的不斷加深，我們面臨著前所未有的網(wǎng)絡(luò)威脅。黑客變得更加老練，攻擊更加復(fù)雜，而我們的防御措施卻常常跟不上形勢的發(fā)展。

我們已經(jīng)到了一個關(guān)鍵的轉(zhuǎn)折點。傳統(tǒng)的網(wǎng)絡(luò)安全策略已經(jīng)不再奏效。我們需要一種全新的思維方式，一種能夠適應(yīng)不斷變化的威脅格局的方法。

網(wǎng)絡(luò)彈性的概念應(yīng)運而生

技術(shù)發(fā)展驅(qū)動網(wǎng)絡(luò)安全策略演變

網(wǎng)絡(luò)空間的日益復(fù)雜是由多種因素共同作用的結(jié)果。這些因素放大了風(fēng)險，挑戰(zhàn)了傳統(tǒng)的防御措施。這些因素包括：

• 新興技術(shù)：人工智能、物聯(lián)網(wǎng)(IoT)和量子計算正在迅速發(fā)展，帶來創(chuàng)新，但也引入了傳統(tǒng)防御措施可能無法解決的新漏洞；
• 地緣政治緊張局勢：由全球沖突驅(qū)動的網(wǎng)絡(luò)攻擊，針對經(jīng)濟和公眾信任；
• 供應(yīng)鏈漏洞：現(xiàn)代供應(yīng)鏈的復(fù)雜性意味著單一漏洞就可能導(dǎo)致廣泛的問題。
• 監(jiān)管混亂：不同國家的不同規(guī)則使合規(guī)變得困難；
• 人力短缺：沒有足夠的訓(xùn)練有素的網(wǎng)絡(luò)安全專業(yè)人員來應(yīng)對日益增長的網(wǎng)絡(luò)威脅，這需要組織考慮提升現(xiàn)有員工的技能或投資教育項目。

技術(shù)創(chuàng)新的速度往往都會超越法規(guī)和政策的完善，使得網(wǎng)絡(luò)安全威脅行為者有機會迅速發(fā)展。隨著大規(guī)模數(shù)字化轉(zhuǎn)型的推進，人工智能、量子計算和物聯(lián)網(wǎng)等新興技術(shù)的引入進一步加劇了這些挑戰(zhàn)。

可見，創(chuàng)新帶來了巨大的機遇，但也引入了在網(wǎng)絡(luò)安全策略中必須解決的新漏洞。這需要從傳統(tǒng)的"安全設(shè)計"方法轉(zhuǎn)變?yōu)楦娴?彈性設(shè)計"策略。

網(wǎng)絡(luò)攻擊的頻率和復(fù)雜程度不斷上升，對數(shù)據(jù)等無形資產(chǎn)構(gòu)成重大威脅。此外，很多攻擊針對關(guān)鍵基礎(chǔ)設(shè)施、醫(yī)療保健和基本服務(wù)，影響社區(qū)和整體經(jīng)濟，破壞社會穩(wěn)定。

因此，通過標(biāo)準(zhǔn)化框架和有效治理將網(wǎng)絡(luò)安全納入環(huán)境、社會和治理(ESG)策略，可以增強組織的彈性，保護利益相關(guān)者的價值，并有助于更廣泛的社會穩(wěn)定。

系統(tǒng)思維解決網(wǎng)絡(luò)風(fēng)險

"系統(tǒng)思維"來解決網(wǎng)絡(luò)風(fēng)險成為一個必然趨勢。這種方法研究我們所監(jiān)管的所有系統(tǒng)在更大范圍內(nèi)如何相互作用，發(fā)掘有價值的見解來量化和緩解網(wǎng)絡(luò)風(fēng)險；鼓勵范式轉(zhuǎn)變，重新思考傳統(tǒng)的風(fēng)險管理實踐，強調(diào)需要更加綜合和全面的方法。

網(wǎng)絡(luò)彈性不僅僅是一套技術(shù)或流程，它是一種思維方式的轉(zhuǎn)變。它要求我們從被動的防御轉(zhuǎn)向主動的適應(yīng)，從孤立的解決方案轉(zhuǎn)向全面的系統(tǒng)思考。它意味著要建立一個能夠預(yù)測、防范和快速從網(wǎng)絡(luò)攻擊中恢復(fù)的組織。

不斷演變和日益復(fù)雜的網(wǎng)絡(luò)風(fēng)險提高了人們對網(wǎng)絡(luò)安全的認(rèn)識和期望。如今，企業(yè)正在根據(jù)他們的準(zhǔn)備情況、恢復(fù)能力以及應(yīng)對網(wǎng)絡(luò)風(fēng)險的有效性進行評估。

此外，了解企業(yè)在市場和行業(yè)層面的披露義務(wù)至關(guān)重要。監(jiān)管機構(gòu)和投資者要求董事會通過強有力的治理來優(yōu)先考慮網(wǎng)絡(luò)安全。有效的治理對于降低風(fēng)險、應(yīng)對事件和展示準(zhǔn)備情況至關(guān)重要。

例如，SEC提議的上市公司網(wǎng)絡(luò)安全披露要求中，將增加董事會對網(wǎng)絡(luò)風(fēng)險的問責(zé)制。此外，新規(guī)定要求在四天內(nèi)報告重大事件，這需要公司快速評估事件的全面影響。

為了滿足這些嚴(yán)格的要求并避免監(jiān)管出發(fā)，董事會必須做好充分準(zhǔn)備，并在事件發(fā)生之前了解其網(wǎng)絡(luò)風(fēng)險和潛在的財務(wù)影響。這要求董事會討論如何在其業(yè)務(wù)戰(zhàn)略、風(fēng)險管理和財務(wù)監(jiān)督中考慮網(wǎng)絡(luò)安全風(fēng)險。

即使在SEC準(zhǔn)則不適用的國家，董事會仍有責(zé)任進行適當(dāng)?shù)谋M職調(diào)查，以做出明智的決策，展示準(zhǔn)備情況并履行其治理義務(wù)。

因此，各方對透明度和問責(zé)制的要求增加，加上股東越來越多地要求了解高管管理層如何通過合理投資和適當(dāng)?shù)陌踩顿Y回報來降低網(wǎng)絡(luò)風(fēng)險，進一步凸顯了董事會角色的重要性。 

他們現(xiàn)在在有效監(jiān)督網(wǎng)絡(luò)風(fēng)險和識別預(yù)算中不必要的支出方面發(fā)揮著關(guān)鍵作用，特別是當(dāng)網(wǎng)絡(luò)風(fēng)險對高管管理層不可見時。

獨立于CIO的CISO角色形成

在此背景下，首席信息安全官(CISO)不斷擴大的角色對于彌合技術(shù)和業(yè)務(wù)方面的鴻溝，以及通過建立統(tǒng)一的通用語言(通過量化網(wǎng)絡(luò)風(fēng)險)將高管管理層與董事會聯(lián)系起來變得至關(guān)重要。

由于快速的數(shù)字化轉(zhuǎn)型和相關(guān)的網(wǎng)絡(luò)風(fēng)險，擁有一個獨立于首席信息官(CIO)的專門CISO已經(jīng)不可或缺。

CISO的角色已經(jīng)發(fā)展到將網(wǎng)絡(luò)安全視為一個戰(zhàn)略和業(yè)務(wù)風(fēng)險，而不僅僅是一個IT問題。這一轉(zhuǎn)變要求CISO具備技術(shù)專長和強大的溝通技巧，使他們能夠彌合技術(shù)領(lǐng)導(dǎo)者和業(yè)務(wù)領(lǐng)導(dǎo)者之間的鴻溝。

CISO應(yīng)該利用預(yù)測分析或基于人工智能的威脅檢測工具來主動管理新出現(xiàn)的網(wǎng)絡(luò)風(fēng)險。他們必須能夠?qū)?fù)雜的網(wǎng)絡(luò)風(fēng)險轉(zhuǎn)化為高管和董事會可以理解的業(yè)務(wù)和財務(wù)術(shù)語，確保網(wǎng)絡(luò)安全被視為戰(zhàn)略投資而不是運營成本。

為了確保能夠CISO取得預(yù)期成果，網(wǎng)絡(luò)安全應(yīng)該是董事會會議中一個一致的主題，定期向董事會更新情境化的網(wǎng)絡(luò)風(fēng)險格局，以及降低風(fēng)險所需的投資。董事會應(yīng)該準(zhǔn)備好就網(wǎng)絡(luò)安全戰(zhàn)略提出相關(guān)問題。

此外，董事會必須形成一種文化。在這種文化中，網(wǎng)絡(luò)安全是量化和優(yōu)先考慮的，不會被相互競爭的利益所掩蓋，并被視為一項投資而不是成本。雖然CISO負(fù)責(zé)設(shè)計和實施網(wǎng)絡(luò)安全計劃，但董事會要確保高管管理層能夠制定和執(zhí)行戰(zhàn)略。

CISO必須意識到，傳統(tǒng)的風(fēng)險管理方法已被證明不足以應(yīng)對不斷變化的網(wǎng)絡(luò)風(fēng)險的動態(tài)特性。傳統(tǒng)方法通常是被動的，側(cè)重于緩解已知威脅，往往依賴歷史數(shù)據(jù)，而沒有充分考慮新出現(xiàn)的威脅和攻擊途徑。實體沒有預(yù)測和預(yù)見新風(fēng)險，而是容易受到利用這些盲點的復(fù)雜網(wǎng)絡(luò)攻擊的影響。這限制了此類方法在應(yīng)對不斷變化的網(wǎng)絡(luò)威脅環(huán)境方面的有效性。

CISO必須承認(rèn)傳統(tǒng)風(fēng)險管理的不足，并采用更加動態(tài)和綜合的方法，如FAIR方法。因此，利用數(shù)據(jù)分析和建模技術(shù)，組織可以用財務(wù)術(shù)語衡量、量化和優(yōu)先考慮網(wǎng)絡(luò)風(fēng)險，從而實現(xiàn)主動和系統(tǒng)的方法來預(yù)測、預(yù)報和緩解潛在的網(wǎng)絡(luò)風(fēng)險。

這種方法促進了對網(wǎng)絡(luò)安全更加綜合和全面的看法，使其與整體業(yè)務(wù)目標(biāo)保持一致，并確保強大的安全態(tài)勢。

有幾個關(guān)鍵的推動因素可以提高網(wǎng)絡(luò)風(fēng)險管理的有效性。這些包括：

• 威脅建模
• 蒙特卡洛模擬：一種用于模擬復(fù)雜系統(tǒng)中不同結(jié)果概率的統(tǒng)計方法
• 風(fēng)險價值(VaR)：一種用于估計網(wǎng)絡(luò)安全事件中潛在財務(wù)損失的技術(shù)
• 價值鏈分析，幫助組織全面了解潛在影響，優(yōu)先考慮安全工作并有效分配資源

這些方法可以做出明智的決策并改善安全性。反過來，這突出了系統(tǒng)思維的必要性。如果沒有這種整合，安全態(tài)勢中就會出現(xiàn)漏洞，導(dǎo)致安全事件發(fā)生時響應(yīng)時間緩慢。

值得一提的是，職責(zé)的擴大也對CSO的溝通能力與領(lǐng)導(dǎo)力提出了新的需求：一方面要提高向不同利益相關(guān)者闡明復(fù)雜安全概念的技能；另一方面要制定策略，帶領(lǐng)團隊?wèi)?yīng)對高壓情況，確?？焖儆行У氖录憫?yīng)。

擁抱主動的網(wǎng)絡(luò)彈性

為了進一步加強組織的網(wǎng)絡(luò)安全實踐，關(guān)鍵是要采用主動措施，如制定和測試網(wǎng)絡(luò)事件響應(yīng)計劃。這對于遏制和最小化網(wǎng)絡(luò)攻擊的影響至關(guān)重要。

一個定義明確的計劃概述了事件發(fā)生期間和之后所要采取的步驟，確保無縫和有效的響應(yīng)。定期演練和模擬有助于完善計劃，使團隊為現(xiàn)實場景做好準(zhǔn)備。

將威脅情報整合到事件響應(yīng)過程中，可以確保組織能夠持續(xù)提高及時檢測和響應(yīng)威脅的能力。研究現(xiàn)實世界中的事件為有效的網(wǎng)絡(luò)安全實踐提供了寶貴的見解。

從監(jiān)管的角度來看，嚴(yán)格遵守本地和國際網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)對于維護數(shù)字信任、公眾信心和避免法律后果至關(guān)重要。

確保遵守這些法規(guī)意味著組織滿足最高的安全要求，堅持最高的數(shù)據(jù)保護標(biāo)準(zhǔn)，無論其地理位置如何。這將減少安全漏洞的可能性，最大限度地減少潛在的財務(wù)損失和聲譽損害。

在不斷變化的網(wǎng)絡(luò)威脅環(huán)境中，構(gòu)建一個有彈性的網(wǎng)絡(luò)生態(tài)系統(tǒng)是必要的。這需要各方的共同努力，包括組織、供應(yīng)商和行業(yè)監(jiān)管機構(gòu)。

此外，組織必須充分了解與其供應(yīng)鏈和第三方關(guān)系相關(guān)的網(wǎng)絡(luò)風(fēng)險，以有效地預(yù)測和緩解潛在的漏洞。當(dāng)一個組織與其供應(yīng)商、監(jiān)管機構(gòu)、政府機構(gòu)和行業(yè)同行保持一致時，就會創(chuàng)造一個更有彈性的數(shù)字環(huán)境。

相反，如果一個組織的合作伙伴很脆弱，那么它就不可能真正具有彈性。這些驅(qū)動因素和推動因素共同為一個有彈性的網(wǎng)絡(luò)生態(tài)系統(tǒng)奠定了堅實的基礎(chǔ)。然而，許多組織仍然難以充分了解其供應(yīng)鏈中的網(wǎng)絡(luò)漏洞。組織必須加強對供應(yīng)鏈漏洞的監(jiān)控和可見性，包括所有第三方供應(yīng)商和合作伙伴的網(wǎng)絡(luò)安全狀況。

如果不能供應(yīng)鏈合作伙伴內(nèi)建立通用實踐，從而確保一致的安全實踐和統(tǒng)一的事件響應(yīng)協(xié)議，就無法實現(xiàn)這一點。這種方法創(chuàng)造了一個更強大、更有彈性的供應(yīng)鏈。

構(gòu)建一個有彈性和可持續(xù)的網(wǎng)絡(luò)空間需要一種適應(yīng)性強、主動的方法。網(wǎng)絡(luò)安全是一個共同的責(zé)任，必須不斷投資和發(fā)展，以強有力的治理、風(fēng)險管理和跨部門合作為基石。

我們需要從一種將安全視為負(fù)擔(dān)的以IT為中心的心態(tài)轉(zhuǎn)變?yōu)橐环N更全面的觀點，將安全視為對整個生態(tài)系統(tǒng)安全做出貢獻的戰(zhàn)略投資。

這種轉(zhuǎn)變需要強有力的治理，采用全面和適應(yīng)性強的風(fēng)險管理策略，進行定期風(fēng)險評估，更加關(guān)注量化風(fēng)險，實施強有力的事件響應(yīng)計劃，并確保復(fù)雜性和不確定性得到很好的管理，特別是在我們?nèi)找婊ヂ?lián)的數(shù)字世界中。

與此同時，構(gòu)建網(wǎng)絡(luò)彈性是一個持續(xù)不斷的過程，需要組織上下的共同努力和不懈堅持。這不僅僅是IT部門的責(zé)任，而是需要每個員工都參與其中。