网络风险量化帮助CISO获得高管支持

在本次Help Net Security采访中，苏黎世韧性解决方案全球网络韧性负责人Vivien Bilquez讨论了组织如何重新思考网络韧性。他谈到CISO应关注的重点以及经常被忽视的风险。Bilquez还解释了如何将网络安全工作与业务目标对齐以获得高管支持。

推动组织重新思考韧性策略的趋势和新兴威胁

AI正使攻击者更容易自动化勒索软件和社交工程攻击。虽然AI尚未高度先进，主要重用现有数据且缺乏真正的创造力，但它仍然构成日益增长的风险。好消息是防御者也可以使用AI来加强安全并应对这些威胁。

我认为我们势均力敌。然而，黑客通常能保持一两步领先，因此保持警惕和充分准备至关重要。

与长期受严格监管的金融行业不同，许多关键基础设施领域现在才开始迎头赶上，特别是随着欧洲NIS2等新指令的出台。

一个关键挑战是这些领域的运营技术通常包含无法轻松更新或保护的过时设备，使它们容易受到攻击。潜在影响很严重，不仅是数据丢失，还会对人员造成伤害。虽然IT安全在大多数公司中已很成熟，但组织现在需要将OT安全作为战略重点。

经常成为韧性盲点的隐藏依赖关系

一个主要盲点是对第三方的依赖。即使是小企业通常也会外包某些业务，这通常涉及共享敏感客户数据。

为解决这个问题，制定第三方管理策略至关重要，从治理开始。根据供应商对业务的关键程度进行分类，并确保合同包含网络安全和数据保护要求，以及“审计权”。引入不合规处罚也有助于执行这些标准。

当关系在治理层面管理时，通过渗透测试等技术评估来证明合作伙伴的合规性就变得更容易。当我们执行审计和评估时，总是添加第三方风险评估，因为这些通常是主要盲点。

CISO评估当前韧性策略的三个关键指标

CISO应从这三个关键指标开始：

安全事件数量：跟踪安全问题的发生频率、影响以及如何管理/缓解。这将有助于了解公司是否成为目标、被谁攻击以及如何攻击。

漏洞修复：衡量修复关键漏洞所需的时间以及在信息安全管理体系内完全修补系统的百分比。CISO将跟踪其网络暴露情况。

第三方合规性：评估第三方合作伙伴满足安全和合规要求的程度。整个供应链的可见性很重要。问题通常不是来自组织内部，而是通过与供应商和合作伙伴的信任链中的差距或弱点产生。

组织运行韧性测试或模拟时的常见错误

我们经常看到客户犯这个常见错误：投资安全工具仅为了合规，但没有正确配置或使用它们。这可能产生错误的安全感。

测试意味着确保工具不仅到位，而且设置和维护以保护业务。我们最好的建议是专注于投资经验丰富的专业人员，而不是仅仅依赖工具。虽然包括AI在内的技术不断发展，但它尚不能取代经验丰富的网络安全工程师的专业知识和判断。熟练人员仍然是强大且有韧性网络安全策略的基础。

CISO如何有效向董事会和其他高管传达网络韧性重点

我经常与董事会交谈，最强调的是网络风险量化的重要性。通过将网络风险转化为财务术语，CISO可以帮助董事会理解影响。与其使用低、中、高等宽泛类别，展示潜在的财务暴露更具说服力。

当风险以财务术语呈现时，CISO可以展示特定项目或投资如何产生影响。例如，显示在网络安全上投资10万美元可以将勒索软件风险暴露从500万美元降低到100万美元，创造了令人信服的投资回报。这种方法使预算批准更有可能。通过网络风险量化，我们还可以将公司与市场上的同行进行基准测试，这也是向董事会和其他高管提出的论据。

将网络安全定位为业务推动者很重要。通过将网络投资与韧性、增长和盈利能力联系起来，CISO可以为获得高管支持建立有力理由。