根据Proofpoint的数据显示,61%的CISO认为自己未做好应对网络攻击的准备,68%的人认为其组织面临攻击风险,因此,现代CISO常常觉得自己是替罪羊,处境艰难。
在与全球领先的财富100强企业中的数百位CISO合作时,我了解到了他们面临的最大挑战,并帮助他们转变为价值创造者和可信赖的合作伙伴。尽管没有万全之策,但CISO可以采取一些步骤来提升其网络安全计划的价值,为应对不断变化的目标做好准备。
让董事会参与进来
董事会通常由具有运营、财务、销售等行业经验的资深高管组成,但可能缺乏对网络安全的详细技术理解,然而,CISO在捍卫其网络安全计划的有效性时,面临着越来越多来自董事会的审查。
为了展示其计划的价值并证明其有效性,CISO必须建立清晰的沟通,克服董事会与其团队之间的脱节。CISO有责任确保董事会了解其企业面临的网络风险水平以及提高其企业网络弹性的需求。以货币形式呈现网络风险水平并提供可操作的下一步措施是让董事会达成共识并打开诚实沟通的必要步骤,同时将其网络安全团队提升为价值创造者的角色。
在不增加网络风险的情况下提交诚实的SEC 10K(真的可以!)
证券交易委员会(SEC)和其他监管机构的新披露要求要求CISO对其重大风险有深入了解,并披露他们如何管理和完善其网络安全计划,然而,2024年初提交的SEC 10K的最新分析显示,31%的企业没有网络安全披露,23%的企业没有量化或描述其网络风险管理方法。
CISO深感担忧,在公共领域分享太多关于其网络安全状况的细节,因为这可能会使其组织面临不必要和可预防的风险,到2025年预计网络攻击将造成10.5万亿美元的损失。
在保护企业网络防御的同时提交诚实的10K需要微妙的平衡,我们已经看到Clorox在这种平衡失误时成为受害者的例子。
一个诚实且平衡的SEC 10K的好例子是Lockheed Martin(洛克希德·马丁公司)2024年的SEC 10K文件,该文件采用了描述性方法,该公司将CISO命名为其安全战略的负责人,概述了具体的网络安全政策、框架和合规要求,表明了企业的网络安全计划的成熟度,他们主动描述了其网络风险模型,并明确了供应商和第三方风险管理的方法。Lockheed Martin还提到使用第三方评估、渗透测试、审计和威胁情报等技术来测试控制设计和效果,这些都是拥有强大风险管理计划并提交平衡诚实的SEC 10K的关键要素。
采用GenAI来降低网络风险
根据Gartner的数据,目前只有足够的合格网络安全专业人员来满足70%的需求。随着威胁环境的迅速发展,对合适人才的需求无疑会增加。
有效管理网络安全风险需要识别关键漏洞并评估安全控制的有效性,然而,来自不同来源的海量数据以及团队规模的停滞,使得CISO很难全面了解这些风险。
通常,安全团队的核心障碍在于将原始数据转化为可操作的洞察,这是促进整个组织有效降低风险所必需的。通过利用GenAI、深度学习和其他专门的机器学习技术来分析数百万个资产和漏洞实例,安全团队可以访问实时、可操作的洞察,并迅速降低网络风险。
此外,这还能使安全领导者了解其安全计划的有效性,并展示其网络安全举措的投资回报,这最终也使与董事会的对话更加轻松和富有成效。
鉴于网络安全形势不断演变的速度,CISO的工作变得越来越艰难,他们不仅要成功防御组织面临的威胁,还要向董事会和SEC提供其有效性的证据。跟上最新技术的步伐,并确保与非网络安全相关利益相关者之间的开放和诚实的沟通,是在组织中充分担当价值创造者角色的关键。
