為何網路安全主管難以回答「我們有多安全？」這個問題？

獨立的業務風險研究指出，網路安全很少與業務策略完全整合，但其實應該要這麼做。

想想看：一個登上報紙頭條的弱點被披露出來，新聞和社交媒體大肆報導。全球幾乎每個企業都要使用的軟體被牽扯其中。董事會强烈要求給出答案，而高階主管們火燒眉毛，忙成一團。貴公司的執行長召開緊急會議。她問的第一個問題是：「我們有多安全？」 

您準備好回答這個問題了嗎？

如果準備好回答了，則您幸運之至。根據 Tenable 委託 Forrester Consulting 進行的一項研究，10 位安全主管當中，只有 4 位表示他們能夠充滿自信地回答「我們有多安全或多危險？」這個問題*。 

如果您對網路安全稍加研究過，就知道為何回答這個問題比看起來要難得多。 

當然，您可以提供有關受到影響的系統數量和您團隊修復速度的資料。但是，所有這些資料都無法為您的執行長提供她想要的答案。她真正想瞭解的是：此弱點是否會對我們創造核心業務價值的能力產生負面影響？ 

Forrester 受委託所進行的研究 (研究群體為位於 10 個國家的 416 位安全高階主管和 425 位業務高階主管) 顯示，企業在瞭解和管理網路風險方面存在脫節現象。根據「和業務單位密切合作的安全主管之崛起」研究，66% 的業務主管對其安全團隊量化其企業風險或安全等級只有一點點信心，這個結果令人震驚。該研究還揭示：

• 只有不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。 
• 只有半數 (51%) 的資安主管表示，其資安團隊會與業務利害關係人共同合作，讓成本、績效及降低風險的目標與業務需求密切配合。
• 只有 43% 的安全主管表示自己會定期與業務利害關係人共同檢討安全團隊的績效指標。
• 不到半數 (47%) 的安全主管在制定網路安全策略時會經常ˊ諮詢業務高階主管。另一方面來說，10 位業務高階主管當中，有 4 位 (42%) 在制定企業的業務策略時幾乎不會 (就算有也很少) 諮詢安全主管。
• 只有 54% 的安全主管和 42% 的業務高階主管表示其網路安全策略完全或接近完全配合業務目標。 

在與 Tenable 進行的訪談中，田納西州橡樹嶺市的橡樹嶺國家實驗室資安長 Kevin Kerr 表示，「與業務主管談話時，最大的挑戰是力求使用非技術語言並專注於業務，或者能夠將技術語言轉換為業務語言。如果您對業務一竅不通，那就做不到這一點。您得瞭解他們害怕什麼、對威脅的看法以及他們認為哪些是重要的事。如果您瞭解他們的業務，您知道他們要做什麼，要保護什麼，要將什麼貨幣化；您便可以向他們展現安全做到這一點的最佳方式，以達到他們要求的標準，同時還能讓他們可以無拘無束地執行他們的業務。」

瞭解業務背景資訊

瞭解網路風險的業務背景資訊並不容易，不同企業，對此問題的回答也有所不同。 

位於墨西哥 San Pedro 的 Home Depot Mexico 資安長 Cesar Garza 表示：「風險是業務高階主管瞭解且害怕的一個名詞，也是網路安全中最廣為周知的詞彙。我們的網路安全專業人員每分每秒都在處理風險，包括：弱點、程式碼缺陷、人為因素、中斷的流程、不適用的技術、設定錯誤等。風險是網路安全高階主管和業務高階主管之間最常探討的話題。這是雙方之間的共通點。但是，將網路安全風險轉換為高階主管可以理解的業務風險仍是一個挑戰。在有些情況下，我們需要想像最壞的情況，談論諸如罰款、品牌損害和失去客戶忠誠度等問題，才能向業務高階主管傳達確切的訊息。因此，我喜歡這麼說：讓我們聊聊風險吧，這樣我們才能瞭解網路安全投資。」

為了提供業務背景資訊，安全和風險管理主管必須先要回答兩個關鍵問題：

1. 企業的核心價值創造是什麼？對製造業而言，此問題的回答可能是製造和銷售小商品來取得利潤。對於醫療保健業而言，此問題的回答可能是為患者提供醫療保健。對於政府而言，此問題的回答可能是為公眾提供服務，例如頒發駕照或進行垃圾處理。 
2. 企業的哪些 IT 資產對實現核心價值創造至關重要？例如，如果企業有 ERP 系統、醫療記錄應用程式或資料庫，那麼在離線時，是否會造成業務營運陷入停頓狀態？是否存在某些使用者群組，其電腦受損時會洩露關鍵的智慧財產權或敏感性資料，從而可能妨礙企業實現該核心價值？是否存在一個雲端環境，在其離線時，可能擾亂重要的客戶專用型 Web 服務（例如銀行或電子商務網站）？

在與 Tenable 進行的訪談中，位於麻塞諸塞州 Needham 的全球旅行平台副總裁暨資安長 Rick Vadgama 表示：「與各個業務主管建立良好的業務合作夥伴關係或進行接觸，確實可以瞭解業務計畫的一些情況。如果他們的系統不執行，功能不可用，這將會對其營收產生什麼樣的影響？基於這一點，從安全角度來看，我們應瞭解我們該在將時間和人力花在何處，以確保對構成該系統的所有資產都瞭如指掌，而且知道有哪些弱點。作為資訊安全主管，我們接觸的環境非常多。透過切實與業務主管合作，您會親耳聽到他們所瞭解的是他們賴以生存的關鍵系統，然後您可以圍繞這個方面展開工作。」

儘管增加對業務背景資訊的瞭解非常重要，但同樣重要的是，即使有了這種瞭解，現有的資產管理和組態資料庫也只能為我們做這些了。首先，資產清單和組態管理是相當靜態的作業。以我的經驗而論，大多數企業僅限於對關鍵業務功能進行年度風險評估或業務影響分析。這種靜態方法幾乎不足以掌握現代攻擊破綻的實際情況，其中包括內部部署和雲端型 IT、物聯網 (IoT) 和操作技術的動態組合。 

例如，在大多數企業中，雲端服務每天都會根據需要執行。隨著員工的入職或離職，企業會不斷地新增或移除運算資產。並根據業務需求的變化持續建置和升級應用程式與軟體。而且，為了應對 COVID-19 疫情，全球大量員工已經轉為在家工作的模式，這可能為企業的營運方式樹立新的典範。由於當今企業隨著數位商業的步伐快速發展，資產盤點清單已經無法跟上發展的步伐。安全主管只能使用一些可用的工具來盡可能全面地瞭解資產重要性。 

在與 Tenable 進行的訪談中，LafargeHolcim 位於馬德里的歐洲、中東暨非洲地區 IT 部門的 IT 安全和內部控制主管 Jose Maria Labernia Salvador 表示：「身為安全專業人員，我們面對的最大挑戰是所經歷的成長速度 (尤其是在非自然成長的產業中) 以及在執行量化風險評估時的不明確性」。

在識別重要業務資產工作的同時，您還必須能夠對企業每年面對的成千上萬個威脅和弱點排定優先順序，以找出實際上會對核心資產造成最高風險的弱點。安全主管需要在弱點或攻擊方式帶來的威脅、以及修復或減輕業務影響這兩者之間取得平衡。基本而言，您需要瞭解您面對該問題的曝險有多高、使用現成的穩健流程解決此問題的速度有多快，以及對此問題不聞不問與善加解決對您的核心業務價值會產生哪些影響。

如果再有頭條新聞大肆報導的弱點讓貴公司高層坐立不安，您準備好如何應對了嗎？

您的高階主管終究很可能不是網路安全專家，而且肯定也不是弱點專家。他們真正想知道的是：我們的網路安全做法對創造價值的業務有什麼影響？採用與業務單位密切合作的方法，您可以充滿信心地評估有多少弱點對那些對業務的核心領域有最大影響的資產至關重要，因為這樣才能讓您明確回答「我們有多安全或多危險？」這個問題。 

閱讀部落格系列文章：如何成為與業務單位密切合作的網路安全主管

本系列中的部落格文章著重於網路安全與業務密切配合的挑戰，以及網路安全主管為何難以回答「我們有多安全或多危險？」這個問題。我們也檢視了 COVID-19 應變策略反映出來的業務與網路安全斷層、探討何以現有的網路安全指標在溝通網路風險時成效不彰、探索與業務單位同步應採取的 5 個步驟，並讓您一窺與業務單位密切合作的網路安全主管如何度過他一天的生活。

深入瞭解：

• 參考更多研究重點，請按此處
• 欲知更多資訊，請造訪我們的網頁 
• 下載完整的「和業務單位密切合作的安全主管之崛起」研究報告
• 閱讀部落格：讓網路安全團隊與業務單位密切合作：沒人說這是件簡單的事
• 下載白皮書：成為與業務單位密切合作的網路安全主管，需要採取哪些行動