說明業務風險：現有的網路安全指標為何不足

如何向貴公司的高階主管說明網路安全計畫的業務風險背景資訊？身為一位網路安全主管，這是我每天都會遇到的問題。

安全與風險管理主管擁有大量架構與控制措施在手，可衡量我們計畫最精細的面向。雖然這類指標在協助管理安全團隊的日常運作上價值極高，但要向我們的業務主管說明時，也不無短處。

面對高階主管或甚至是稽核委員會層級時 (通常是負責安全的董事會單位)，高階主管會想瞭解網路安全計畫對於企業實現核心價值主張的能力有何影響。不過，Forrester Consulting 受到 Tenable 委託進行了一項超過 800 名業務主管與網路安全主管參與的全球調查，發現 66% 的業務主管對安全團隊量化公司風險或安全程度的能力 (最多) 只有一點信心。

這不表示安全主管做得不對。反之，它突顯出無法避免的現實：現行的網路風險衡量方式無法提供企業所需的業務背景資訊。研究中，超過半數的安全主管沒有自信自己擁有技術或流程，能預測出公司業務的網路安全威脅，將近五分之二的人更不確定自己是否擁有這些資料。

任職於墨西哥 San Pedro 市 Home Depot Mexico 的資安長 Cesar Garza 用四個字說明這個挑戰：「調查結果。」在與 Tenable 的訪談中，Garza 表示：「對我們來說，找出我們的網路風險程度並不是那麼困難。我們擁有 [全球各地的總公司] 寄來的成熟度評估、弱點評估、滲透測試和各種稽核與評估。最困難的部份是我們要如何應對所有的調查結果。大多數的調查結果都需要投資、內部的其他作業開支、增加新技術上的工作團隊或投資。」

如何計算網路風險？

網路風險是由貴公司資產、安全控制措施、威脅、弱點在任何指定時間點組成的函式。若不清楚哪些資產對於貴公司核心業務價值的重要性最高，就不可能知道哪些網路風險會對業務構成實際威脅。在找出最關鍵的資產後，下一步是瞭解貴公司每年面對的成千上萬個威脅和弱點，以找出實際上對核心資產造成最高風險的威脅與弱點。

Forrester 的研究指出，只有不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。參與票選的安全主管中，超過半數 (56%) 在為弱點排定優先順序的程序中，皆未套用業務風險管理的目標。只有半數 (51%) 的安全主管表示，其團隊會與業務利害關係人密切合作，讓成本、績效及降低風險的目標與業務需求密切配合。此外，4 位安全主管中只有 1 位表示，自己會固定與業務主管共同檢討安全部門的績效指標。

Forrester 研究還揭示：

• 超過半數 (56%) 安全主管表示，自己的企業缺乏良好的能見度，難以掌握最關鍵資產的安全狀態。
• 有 60% 左右的受訪者表示，自己對於內部員工的風險評估能見度為高度或完整，但是員工遠端工作或在家工作時，只有 52% 的人展現同樣的自信。
• 只有 51% 的人表示自己擁有高度或完整能見度，瞭解承包商或合作夥伴使用的系統，換成第三方廠商時，則有 55% 的人持相同想法。

若沒有業務背景資訊，您就無法計算網路風險

我被資深業務主任和董事會最常問到的兩個問題分別是：「我們公司安全嗎？」以及「我們的計畫與同業相較如何？」

然而，安全主管跟業務主管不同，手上的客觀資料有限，要藉此建立必要的資產、安全控制機制、威脅和弱點的網路風險方程式，才能回答上述兩個問題。任何現有架構都無法掌握我們作業的全貌，安全主管因此得將一大堆測量指標東拼西湊起來。如果缺乏針對各項資產業務背景資訊的客觀測量方式，我們的網路風險計算效用就會很有限。

此外，Forrester 的研究顯示，不到半數的安全主管認為自己使用的產業指標分析架構在準確通報業務風險上非常有效。超過半數的安全主管表示，自己並未對安全控制措施進行充分的指標分析。

同時，我們公司的攻擊破綻中牽涉了太多變數，以至於短期內很可能無法讓整個業界就安全指標達成共識。從來就沒有企業能宣稱自己 100% 安全。我們只能在取得資訊之後計算出可接受的風險等級，讓我們做出業務決策，評估我們在處理完合理程度的曝險之後，可以達到何種效果。

如何利用手上的資源，開始消弭網路安全與業務之間的斷層？

沒有一種方式能夠放諸四海皆準，但我們可以用位西班牙馬德里的 LafargeHolcim IT EMEA 公司做個例子。該公司 IT 安全與内部控管主管 Jose Maria Labernia Salvador 與 Tenable 訪談時表示：「我們評估了目前我們所擁有的不同層級防護的滲透率。這樣有助於讓我們公司瞭解環境中的潛在曝險，並在整個網路安全價值鏈中定義其風險評分。我們採用的模型是以 KPI、資料或區段為導向，因為您永遠都不知道什麼東西會成為最初的攻擊媒介，它可能會橫向移動，並且對我們公司造成傷害。」

利用既有資料朝必要方向邁進

風險是相對的，並非絕對。企業內部永遠都會存在風險。問題在於，我們是否採取了特定業務行動，使風險降低或增加。現有的資安評估選項只提供了您快速劃分界線的能力，這是個起點，您可以由此開始尋找進一步改良安全計畫所需要的工作內容。

在 Home Depot Mexico 工作的 Garza 採用了 Tenable.io with Lumin，以幾乎即時的方式取得目前網路曝險的能見度。「我們可以排定網路風險的優先順序，並且全部顯示在一個畫面當中。」他補充說明，該公司目前正在建立一個高階儀表板，能夠提供高階主管能見度。

若要判別對貴公司而言最重要的關鍵風險指標，沒有什麼萬能的方法。身為業界專業人員的安全主管，我們能做的只有開始合力制定業務風險指標，確立對於高階業務主管來說最有意義的指標。

為此，我把在我職業生涯中曾經被董事會和高階主管問到的以下問題留給您。

• 最關鍵的風險、部門、資產是什麼和/或在哪裡？
  • 目前如何保護它們？
• 與業界以及同行相比，我們的計畫有多成熟？
  • 改善成熟度的藍圖為何？
• 與競爭對手或業界同行相較，我們的資安計畫取得資源的成效如何？
• 業務關鍵性最高的部門現在是否比一年前更加安全？
• 我們如何因應 (插入最近佔據頭條的弱點)？

我希望這些問題會讓您想到其他值得衡量的業務風險指標，這樣我們就有可能一起找出更好的方法，實現網路安全與業務之間的合作。

閱讀部落格系列文章：如何成為與業務單位密切合作的網路安全主管

本系列中的部落格文章著重於網路安全與業務密切配合的挑戰，以及網路安全主管為何難以回答「我們有多安全或多危險？」這個問題。我們也檢視了 COVID-19 應變策略反映出來的業務與網路安全斷層、探討何以現有的網路安全指標在溝通網路風險時成效不彰、探索與業務單位同步應採取的 5 個步驟，並讓您一窺與業務單位密切合作的網路安全主管如何度過他一天的生活。

深入瞭解：

• 參考更多研究重點，請按此處
• 下載完整的「和業務單位密切合作的安全主管之崛起」研究報告
• 閱讀部落格
  • 讓網路安全團隊與業務單位密切合作：沒人說這是件簡單的事
  • 為何網路安全主管難以回答「我們有多安全？」這個問題？
  • 新冠病毒應對策略給我們的啟示：業務與網路安全之間的斷層
• 下載白皮書：成為與業務單位密切合作的網路安全主管，需要採取哪些行動
• 閱讀電子書《如何成為與業務單位密切合作的安全主管》
• 收聽 Cyber Exposure 播客系列「Tenable 安全長 Bob Huber 訪談」
• 歡迎報名參加即將於 9 月 30 日舉行的網路研討會和 Q&A 直播：「和業務單位密切合作的安全主管之崛起」