危机过后确保网络安全的4种方法

　　行业专家指出，企业高管和董事会成员在面临安全威胁时需要将更多的精力放在网络安全上。首席信息安全官(CISO)需要通过SolarWinds安全事件这样的危机将安全性转化为业务策略。

　　Abacus公司首席信息安全官Bill Brown指出，像SolarWinds这样引人注目的网络安全漏洞事件应该引起企业高管和董事会成员的关注。他曾担任三家公司的信息安全负责人，他表示任何公司的企业高管通常在听说出现最新的安全漏洞后，都会打电话给他以寻求安全保证。他们会说，“这种事件会发生在我们公司吗?我们应该如何应对?”

　　他说，但是现在许多董事会成员对此无动于衷。

　　SANS研究所新兴安全趋势负责人John Pescatore表示，虽然SolarWinds安全漏洞事件成为了头条新闻，但需要考虑对企业业务带来的其他影响，例如冠状病毒疫情。他说，“对企业董事会来说，网络安全是他们承担责任所涉及的众多风险之一，而对于大多数公司而言，这并不是最大的风险。”

　　在Trend Micro公司和Enterprise Strategy集团最近进行的一项调查中，约有85%的安全负责人表示，与两年前相比，企业董事会在安全决策和战略方面的参与度更高。但是，由于重大泄露事件、新的合规性要求或业务信息安全官(BISO)的安全计划，这些高管才会关注。

　　该报告建议，企业需要增加业务信息安全官(BISO)的职位以改善业务安全一致性，其职责是建立自上而下的可衡量项目，并更改报告结构，以便首席信息安全官(CISO)直接向企业首席执行官报告。归根结底，首席信息安全官(CISO)有责任与企业高管和董事会建立密切关系，并与他们进行定期对话。

　　为了保持发展势头，首席信息安全官(CISO)必须以业务术语提供稳定的信息流，并以风险和网络安全战略的形式(不仅是技术解决方案)让企业董事会保持关注。安全主管和分析师提供了一些技巧、工具和框架，以帮助将安全性转化为策略并确保网络安全。

　　1.与商业模式相匹配

　　SANS公司安全意识总监Lance Spitzner说，“首席信息安全官(CISO)必须具有周全的策略，并且有战略业务工具才能做到这一点。”SANS公司为安全领导者提供了为期五天的类似“MBA”课程，以了解企业高管和董事会用来衡量风险和制定策略的业务模型和框架。首席信息安全官(CISO)可以研究PEST模型、SWOT分析、平衡计分卡，或如何将能力成熟度模型集成(CMMI)模型与NIST网络安全框架相结合，以向企业董事会成员传达其不同战略安全计划的成熟度。

　　Spitzner指出，首席信息安全官(CISO)不必了解所有这些模型，只需了解对企业董事会至关重要的模型即可。他们需要与企业董事会成员交谈，并询问他们在董事会会议中使用哪种类型的模型。

　　一些行业特定的安全框架也促进了企业董事会的讨论。 Abacus公司最近完成了HITRUST认证，这是医疗保健领域的一个通用安全框架，处理受保护的健康信息的组织经常需要此框架。Brown表示，这些认证使企业的安全活动更加结构化，其中包括与董事会成员沟通方面的要求。其中一些控制措施包括与执行团队进行定期对话，讨论他们在保护资产方面的角色以及业务合作伙伴的角色，其责任与首席信息安全官(CISO)相同。

　　数据可视化工具还可以帮助首席信息安全官(CISO)更好地将网络数据转化为业务影响。Brown为Abacus公司创建了一个季度热图图表，该图表使用颜色表示表中的数据值，从绿色的低概率、低影响问题到红色的高概率、高影响问题。数据值显示了已确定的潜在风险，在Abacus公司发生的每种可能性以及发生的影响，其中包括对客户、对业务的看法以及与供应商和合作伙伴的关系的影响。他的团队定期监视和更新此数据。

　　Brown说：“企业董事会期待看到自从上个季度以来热图的变化。如果某个事件具有高潜力、高影响力，可以讨论安全团队正在做些什么，以使它们的可能性或影响力降低。”

　　2.以竞争对手为基准进行衡量

　　Pescatore说，企业董事们和高管们希望首席信息安全官以竞争对手为基准衡量自己的工作，这类似于首席财务官和首席运营官向企业董事会展示的内容。他说：“企业董事会成员希望听到，在安全计划或保护供应链方面，是比竞争对手更差还是更好?但通常很难做到这一点。”他指出，但是有很多资源可以提供帮助。美国信息共享和分析中心委员会是一个针对特定行业的组织，主要负责收集和共享有关对关键基础设施的网络威胁的信息。

　　美国信息共享和分析中心(ISAC)还促进了公共部门和私营部门团体之间的数据共享。该中心列出了24个行业作为参与成员，其中包括医疗保健、零售、酒店、金融服务、媒体以及石油和天然气。Pescatore说：“人们有能力团结起来应对这种情况，只是没有被充分放大。”

　　3.利用立法的推动

　　SolarWinds对美国政府机构的攻击使新的行政管理着眼于强化美国的网络安全防御。美国联邦隐私立法的要求也在不断提高，近年来提出的一些法案可能最终会受到关注。这是一个热门话题，美国国会需要对新的联邦法律可以取代已经生效的州立法达成共识。

　　例如，《加利福尼亚州隐私权和执行法》(CPRA)于去年11月通过，将于2023年1月1日全面生效。该法律要求该州总收入超过2500万美元的企业必须提供合理的网络安全保护措施，提交年度网络安全审核，向新成立的加利福尼亚隐私保护局提交风险评估的监管文件，并要求合同条款和其他保护措施来解决供应链安全和隐私风险。美国其他八个州也有类似版本的隐私法规。

　　分析师表示，首席信息安全官(CISO)应将其关注点放在新法规上，以分享积极的网络安全措施和投资如何使企业达到合规性。

　　4.建立良好的人际关系

　　分析师指出，首席信息安全官(CISO)不仅需要随时征求信息请求或召开季度会议，还需要与高管和董事会建立和培养关系。《全球CISO的战略与策略和领导力》一书的作者Michael Oberlaender表示：“应该始终保持开放的沟通，而不仅仅是在重大危机期间，这是核心问题，否则安全就会被忽视。”

　　Brown说，“建设良好的人际关系可以获得盟友的帮助。一旦发生不幸的事情，那么已经拥有了这种关系，所有人可以一起解决问题而不是相互指责。”