如何成為與業務單位密切合作的安全主管

壞消息是什麼？業務單位與網路安全部門之間存在著斷層。好消息又是什麼？只要密切合作，結果就會大不相同。

如果您擔任資安長、安全長或其他網路安全主管已經有一段時間，執行長、董事會成員或其他資深高階主管很可能經常問您「我們有多安全？」這樣的問題。您也一定知道，回答這個問題並不像聽起來那麼簡單。

在大型企業風險瞬息萬變的時期，包括疫情全球大流行、經濟衰退以及遠距工作等，全球各地的網路攻擊與風險肆虐，不僅擴大了每一個風險的影響，也讓網路安全升級成為董事會層級考核的議題。然而，站在前線的我們卻要和許許多多的挑戰搏鬥，難以協助業務主管瞭解公司網路安全態勢的清楚樣貌。

Tenable 觀察到這些重大挑戰漸漸浮現，並協助安全主管與他們的業務單位對口展開對話，我們委託 Forrester Consulting 對 416 位安全高階主管和 425 位業務高階主管進行了一項線上調查，從研究發現中檢視中到大型企業的網路安全策略與實務。調查結果所寫成的研究報告「和業務單位密切合作的安全主管之崛起」發現，資安團隊與業務單位的期望之間存在著斷層，以及安全主管所面臨的現實狀況。不過，該報告也發現，或許當今數位企業所面臨的最大機會，就是將資安長的角色提升到和其他高階主管的同等地位。

未來將屬於和業務單位密切合作的網路安全主管

該研究發現了 4 個重要的主題：

1. 網路安全威脅在充滿變數的環境下與日俱增，使它成為值得董事會層級關注的議題。大多數的企業 (94%) 在過去 12 個月當中，遭遇過一次影響業務*的網路攻擊或入侵事件。大約三分之二 (65%) 的企業表示，這些攻擊涉及操作技術 (OT) 資產。
2. 業務主管想要清晰瞭解企業網路安全態勢，安全主管卻無力提供。10 位安全主管中，只有 4 位表示能充滿信心地回答這個問題：「我們有多安全？」或是「我們的風險有多高？」缺乏資料整合以及相互聯結的業務背景資訊，造成網路安全決策者面臨重重困難。
3. 企業掌握網路風險與管理風險的方式之間存在著斷層。 不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。而只有半數 (51%) 的安全主管表示，他們的安全部門會跟業務部門的利害關係人就成本、績效和降低風險的目標以及業務需求密切配合。10 位安全主管中，只有 4 位 (43%) 表示會定期與業務單位的利害關係人共同檢討安全部門的績效指標。
4. 網路安全必須進化成和業務策略一樣成熟。只有在安全主管對其企業的攻擊破綻擁有更高的能見度時，這個目標才有可能實現。只有超過半數的安全主管表示，自己的安全部門能全面掌握與評估其企業的整體攻擊破綻，不到 50% 的安全部門會採用情境式威脅指標來衡量其企業的網路風險。也就是說，他們分析網路風險以及根據業務關鍵性和威脅背景排定優先順序與執行修復工作的能力很有限。

研究顯示，若安全和業務主管針對有共識的業務風險資料密切合作，就能共同締造出重要、顯著的成果。相較於孤立行事的安全主管，與業務單位密切合作的安全主管對於報告所屬企業安全或風險等級的信心高出了 8 倍。在當今的經濟環境下，由於全球經濟衰退而使得企業重新評估其開支，這一點更值得注意：85% 與業務單位密切合作的安全主管能夠掌握追蹤網路安全 ROI 及業務績效影響的指標，而在被動、孤立行事的安全主管中，只有 25% 能掌握這些指標。

就像 Sentara Healthcare 資安長 Dan Bowden 在去年與 Tenable 的訪談中指出：「在當今的環境下，社會對於在風險管理方面做得不錯的公司會給予許多關注，每間企業的每個領導團隊和董事會都希望參與解決問題的過程。如果可以提供他們有關曝險的正確資料 (而這恰好是我們必須要做的事)，他們就能瞭解資料並且將資料與風險產生關聯。他們希望能夠參與其中，協助您解決問題並且更加妥善地管理風險。」

「當今世界，社會對於在風險管理方面做得不錯的公司會給予許多關注，每間企業的每個領導團隊和董事會都希望參與解決問題的過程。」 Sentara Healthcare 資安長 Dan Bowden

為了密切合作，資安長和其他安全及風險管理主管必須結合適當的技術、資料、流程與人員。例如，絕大多數與業務單位密切合作的企業 (80%) 擁有一位業務資訊安全長 (BISO) 或類似的職位，而較沒有密切合作的企業則只有 35% 設有這樣的職位。該研究也顯示，在將關鍵弱點評估流程自動化方面的腳步上，與業務單位密切合作的安全主管和採取較被動回應或獨立作業的安全主管之間為 +66 個百分點和 + 49 個百分點的差距。

接下來的章節將探討研究的上述結果及其他結果，提供指引，介紹 Tenable 如何協助企業因應斷層背後的技術與資料挑戰。在第 1 章中，我們將更深入探索安全主管在回答「我們有多安全？」這個問題時所面臨的許多挑戰。第 2 章採取「取材自重大新聞」的角度，瞭解企業如何應變新冠病毒疫情，說明業務與網路之間的斷層在真實生活中如何顯現。在第 3 章中，將討論現有的網路安全指標為何不足，無法提供資安長與其他安全主管處理業務風險所需要的資料。第 4 章與第 5 章 將討論與業務單位密切合作的網路安全實務應該如何進行，以及您如何在貴公司內著手建立這樣的合作關係，並提供我們的秘訣與建議，將您本身的角色轉型為與業務單位密切合作的網路安全主管。

—Tenable 安全長 Robert Huber *出於本研究需要，「影響業務」是指與造成下列任一或更多後果的網路攻擊或入侵相關之事件，包括：損失客戶、員工或其他機密資料；日常運作中斷；為勒索軟體付出贖金；財務損失或遭竊；和/或智慧財產遭竊。

企業如何客觀地衡量網路風險

採用 Cyber Exposure 管理的最佳做法後，企業能更有效減少部門之間的壁壘，導入討論風險的共同語言，也就是業務團隊與安全團隊都瞭解的語言。利用 Tenable 解決方案，企業就能全面評估、管理，並最終減少自己在現代攻擊破綻中的網路風險。Cyber Exposure 提供企業客觀衡量自身網路風險的方法，包含計算內部與同業的風險評分，以便協助引導策略型決策，使安全計畫更能配合業務目標。就像其他部門都有一套紀錄系統，例如資訊科技有資訊科技服務管理 (ITSM) 系統，銷售有客戶關係管理 (CRM) 系統，Tenable 也是如此，可以成為企業的紀錄系統，有效地將網路風險當作業務風險加以管理與衡量。

深入瞭解

網路安全很少完全與企業策略整合，但這卻是必要之道。

想像一下：某個引人矚目的弱點公諸於世。新聞和社群媒體大肆報導。弱點牽涉到全球幾乎每個企業都在使用的軟體。董事會強烈要求給一個交代，公司高階主管人人手忙腳亂。執行長召開了緊急會議。她問的第一個問題是：「我們有多安全或多危險？」

您準備好回答這個問題了嗎？

準備好回答的人是少數的幸運兒。Forrester Consulting 的研究「和業務單位密切合作的安全主管之崛起」發現，10 位安全主管當中，只有 4 位表示自己能充滿自信地回答「我們有多安全或多危險？」這個問題。

如果您稍微研究過網路安全，就知道回答這個問題為何比看起來難得多。

當然了，您可以回答受影響的系統數量和安全團隊修復速度的相關資料。但是，這些資料都不是執行長想要的答案。她真正想瞭解的是：這個弱點會不會對公司實現核心業務價值的能力產生負面影響？

歸根究柢，高階主管很可能不是網路安全專家，而且肯定也不是弱點專家。他們真正想瞭解的是：我們的網路安全做法對創造價值的業務有什麼影響？

顧問機構 Forrester 的研究顯示，企業在瞭解與管理網路風險之間存在斷層。例如，高達 66% 的業務主管對於安全團隊量化公司風險程度或安全程度的能力 (最多) 只有一點信心。該研究還揭示：

• 不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。
• 只有半數 (51%) 的資安主管表示，其資安團隊會與業務利害關係人共同合作，讓成本、績效及降低風險的目標與業務需求密切配合。
• 只有 43% 的資安主管表示，自己會定期與業務利害關係人共同檢討資安團隊的績效指標
• 制定網路安全策略時，不到半數 (47%) 的安全主管會頻繁諮詢業務高階主管。另一方面來說，制定企業的業務策略時，10 位業務高階主管當中有 4 位 (42%) 幾乎不會 (就算有也很少) 諮詢安全主管。
• 只有 54% 的安全主管和 42% 的業務高階主管表示，自己的網路安全策略完全或密切配合業務目標。

瞭解業務背景資訊

瞭解網路風險的業務背景資訊並不容易，不同企業，對此問題的回答也有所不同。為了提供業務背景資訊，安全和風險管理主管必須先要回答兩個關鍵問題：

1. 貴公司存在的核心原因為何？對製造業而言，答案可能是製造和銷售小商品來取得利潤。對於醫療保健業而言，答案可能是為患者提供醫療保健服務。對於政府而言，答案可能是為社會大眾提供服務，例如核發駕照或進行垃圾處理。
2. 貴公司有哪些資訊科技資產是實現其存在核心原因的關鍵？例如，如果貴公司有 ERP 系統、醫療記錄應用程式或資料庫，那麼在離線時，是否會造成業務營運陷入停頓狀態？貴公司是否存在某些使用者群組，其電腦受損時會洩露關鍵的智慧財產或敏感資料，而使得貴公司無法實現核心價值？貴公司是否擁有一個雲端環境，在其離線時可能會阻礙重要的客戶專用 Web 服務 (例如銀行或電子商務網站)？

現有資產管理與設定資料庫在回答上述業務問題上，能提供的幫助有限。首先，資產清單和組態管理是相當靜態的作業。大多數企業只會對關鍵業務部門進行年度風險評估或業務影響分析。這種靜態方法幾乎不足以掌握現代攻擊破綻的實際情況，其中包括內部部署和雲端型 IT、物聯網 (IoT) 和操作技術 (OT) 的動態組合。

現有資產管理與設定資料庫在回答業務問題上，能提供的幫助有限。

例如，在大多數企業中，雲端服務每天都會根據需要執行。隨著員工的入職或離職，企業會不斷地新增或移除運算資產。並根據業務需求的變化持續建置和升級應用程式與軟體。而且，為了應對新冠病毒疫情，全球大量員工已經轉為在家工作的模式，這可能為企業的營運方式樹立新的典範。由於當今企業隨著數位商務的步伐快速發展，資產清單已經無法跟上發展的步伐。安全主管只能使用一些可供使用的工具來盡可能全面地瞭解資產重要性。

在識別重要業務資產工作的同時，您還必須能夠對企業每年面對的成千上萬個威脅和弱點排定優先順序，以找出實際上會對核心資產造成最高風險的弱點。安全主管需要在弱點或攻擊方式帶來的威脅、以及修復或減輕業務影響這兩者之間取得平衡。基本而言，您需要瞭解您面對該問題的曝險有多高、使用現成的穩健流程解決此問題的速度有多快，以及對此問題不聞不問與善加解決對您的核心業務價值會產生哪些影響。

如果再有頭條新聞大肆報導的弱點引起貴公司高層注意，您準備好如何應對了嗎？

歸根究柢，高階主管很可能不是網路安全專家，而且肯定也不是弱點專家。他們真正想瞭解的是：我們的網路安全做法對創造價值的業務有什麼影響？採用與業務單位密切合作的方法，便能穩健評估，在對於業務核心領域有深遠影響的資產之中，有多少弱點對這些資產來說至關重要，讓您明確回答「我們有多安全或多危險？」這個問題。

準備回答「我們處於風險之中嗎？」

在資訊安全業界，每個人都會說：「自己都不知道自己擁有哪些資產，談何保護。」若無法徹底掌握您環境中的資產，就無法從根本上瞭解自身面臨的網路風險。最重要的是，若不瞭解各個資產在支援關鍵業務部門中所發揮的作用，就不可能衡量讓系統離線以修補弱點所造成的影響，或是決定是否該處理特定系統。所以您該從何著手？

1. 瞭解您的企業環境。與業務合作夥伴合作，瞭解、辨識需要保護的服務與應用程式，並排定優先順序。如果一切都很重要，那就表示一切都不重要。沒有這項資訊，就無法辨別可能受到攻擊程式影響的業務環節，若發生問題，想確定找誰一起合作解決也幾乎不可能。
2. 持續評估所有資產。大多數舊型掃描器是為了傳統資訊科技環境打造，不是為了在現代攻擊破綻變動性最高的層面中偵測弱點，例如雲端、OT、容器環境。理想之舉是升級至一套全方位解決方案，取得主動掃描、被動監控、代理程式、介接軟體與多項整合性，以便盡可能徹底評估貴企業的環境，無論資產位於何處、何種環境，無論是否在稽核範圍內，也無論資產連接至網路的頻率，都應如此。
3. 以描述性中繼資料標記資產，新增業務背景資訊。使用標籤辨識業務關鍵資產。標籤可依照業務單位測量風險 (這些資產支援什麼「工作」？)，或是依照團隊測量 (我需要和誰合作以便修復潛在問題？)。利用 Tenable 解決方案，就能自動 (使用規則) 及手動標記資產。
4. 以風險為基礎，為弱點排定優先順序並決定行動。在識別關鍵業務資產的同時，還必須為企業面對的威脅和弱點排定優先順序，找出對核心資產造成最大風險者。安全主管需要在弱點或攻擊方式帶來的威脅、以及修復或減輕業務影響這兩者之間取得平衡。在每年新出現的成千上萬弱點中，您必須預測攻擊者最可能利用的是哪一些弱點，貴企業對這些弱點的曝險程度有多高，使用既有修復程序處理弱點的速度有多快，以及不採取行動和解決問題會對核心業務價值有什麼不同影響。

隨著全球企業競相制定因應新冠肺炎疫情的策略，但很顯然地，網路安全議題卻無立足之地。

大家都知道，網路罪犯的聚集會圍繞著重大新聞事件進行，例如全球危機或是 WannaCry 這類搶盡新聞版面的弱點，以便發動惡意軟體與網路釣魚詐騙。在 2020 年，沒有一則新聞像新冠病毒一樣佔據頭條，疫情藉由病毒傳播，引發了全球大流行。疫情危機使許多企業猝不及防，也突顯出企業若缺乏災難應變措施與業務永續的準備，加上業務與安全主管配合不當時，將陷入風險。

在 Forrester Consulting 受委託進行的研究中，雖然幾乎所有受訪者 (96%) 都表示自己的企業已經制定新冠病毒的應變策略，絕大多數 (75%) 人認為業務部門與安全部門的配合最多只到「稍微」的程度而已。

這樣的情況令人相當憂心，尤其是現在為了因應疫情，企業突然廣泛採用在家工作的模式，導致公司網路中湧現大量終端使用者裝置。過去，遠端桌面作為只是一種可有可無的產品，面向一群特定的員工，現在卻成為許多員工賴以維持企業運作的必要工具。突然之間，員工紛紛使用自己未經過測試而且可能含有弱點的消費性路由器和家用網路，連線到核心業務系統與應用程式。物聯網 (IoT) 裝置受到歡迎，也因此成為潛在的威脅媒介。普通的家用網路可能含有 Amazon Alexa 或其他語音聲控工具、連線至網際網路的電視與電玩裝置，更別提員工配偶、子女或家中其他成員所擁有的各式筆記型電腦、平板電腦和手機。

Forrester Consulting 調查的網路安全主管中，將近半數 (48%) 表示自己對於在家工作的遠端員工能見度為中度至零 。

根據布魯金斯研究所 (Brookings Institute) 估計，截至 2020 年 4 月 9 日為止，高達半數的美國員工都在家工作，該研究所稱之為「巨大轉變。」此外，皮尤研究中心 (Pew Research) 的研究顯示，疫情之前，美國民間企業、州政府、地方政府的員工只有 7% (約 980 萬人，員工總數為 1.4 億) 享有「彈性職場」的福利或是能夠選擇遠端工作。

現在，網路罪犯趁虛而入，利用呈指數擴張的攻擊破綻。同一份 Forrester 的研究還指出，截至 2020 年 4 月中旬，10 家企業中有 4 家 (41%) 已經遭遇過至少一次影響業務*的網路攻擊，原因來自與新冠病毒相關的網路釣魚或惡意軟體手法。事實上，與新冠病毒相關的詐欺在該研究所有影響業務的網路攻擊中，位居第 1 名。雖然世界衛生組織在調查進行僅幾週前宣布新冠病毒疫情為大流行，等到研究進行時，新冠病毒相關的攻擊早已遠遠超過其他影響業務的攻擊，例如詐騙 (40%)、資料外洩 (37%)、勒索軟體 (36%)、軟體弱點 (34%)。

可以想見，網路安全主管也相當擔心上述趨勢。根據 Forrester 調查，三分之二 (67%) 的受訪者表示自己非常或極度擔憂新冠病毒帶來的必要人力變化，將增加任職企業的風險等級。

更糟的是，該調查中將近半數的網路安全主管 (48%) 表示，自己對於在家工作的遠端員工能見度為中度至零 。

消弭這種斷層的關鍵之一，就是企業在制定風險管理策略時，需要納入網路安全。

風險管理如何協助您成為與業務單位密切合作的網路安全主管

資安長、安全長、其他網路安全主管適合在風險管理中擔任更重要的角色，在業務永續性、災難復原、危機管理的相關領域中亦是如此。這些人員的工作正好讓他們處在技術與業務的交會點。他們擁有能見度，掌握實現業務永續性與災難復原計畫所要求的所有系統、資料和流程。參與風險管理也會讓他們的工作更容易管理一些：如果能從廣泛的企業風險角度瞭解所有關鍵流程與資產，肯定能讓貴公司在網路安全上也變得更強健。

執行風險管理活動還能取得一項明顯的營運優勢，這些活動能成為企業業務部門與資訊安全部門之間的橋樑。過程中的發現有助於整個企業掌握為資源排定優先順序的最佳方式，包含人力與財務資源，即使在危機期間也能維持業務進行。

如果能從廣泛的企業風險角度瞭解所有關鍵流程與資產，肯定能讓貴公司在網路安全上也變得更強健。

企業面臨經濟可能長期維持不確定性時，依據風險替各項投資排定優先順序就變得至關重要。Forrester 的研究顯示，安全與業務單位密切合作時，就能交出亮眼成果。例如，85% 與業務單位密切合作的安全主管能夠掌握追蹤網路安全投資報酬率及業務績效影響的指標，而在被動、孤立行事的安全主管中，只有四分之一 (25%) 能掌握這些指標。

參與制定自己企業的企業風險管理 (ERM) 策略是理想之舉，如此將可讓您朝著與業務單位密切合作的網路安全主管邁進。

以下六個步驟將協助貴公司進行初始的企業風險識別與評估：

1. 制定風險評估調查並分送給關鍵利害關係人。這些調查通常是交由資深總監及更高層級處理，同時應該納入貴公司所有主要部門的代表，包含財務、法律、人力資源、資訊科技、資訊安全、銷售、營運、行銷、研發。調查完成後，建議將回應統整成風險類別，以便彙整出企業風險的清單。
2. 執行研究與分析，以產業風險調查比較貴公司的企業風險。
3. 制定風險評估方法，包含機率與影響，以取得總風險分級。
4. 找出貴公司的關鍵主管，投入時間進行訪談，取得他們對風險和排定優先順序的意見，以及風險機率和影響。
5. 向高階主管呈報風險評估的結果，確立最高的風險並指派高階主管層級的風險負責人。
6. 與高階主管層級的風險負責人合作，判別最高風險的降低風險措施。

執行上述步驟雖然艱辛，卻能帶來高度優勢，提供一組明確的優先順序。您將能掌握共同制定的企業風險清單。網路安全本身可能獨立成為企業的風險，也肯定會以某種形式影響許多企業風險，甚至是所有風險。

將企業風險評估結合業務影響分析，對業務永續與災難復原而言非常重要，可確立貴公司最需要的關鍵系統與業務程序。風險評估與影響分析可成為基礎，以利制定與業務單位密切合作的網路安全策略。貴公司將取得專屬的最關鍵企業風險與流程清單，進而實現遭逢危機時，為應變措施明確排定優先順序的做法，無論危機是否來自於網路攻擊、天災或全球疫情，皆能順利應對。正常業務營運恢復時，也沒問題。

風平浪靜之時，企業很容易以為企業風險管理就只是按表操課演練，交給風險專業人員組成的團隊就好。而面臨新冠病毒疫情，業務與技術主管這才發現自己得上一堂危機管理速成課。不妨將危機當成轉機，重新思考因應企業風險的方式，以便為不順遂的時期做好更完善的準備，在一切順利時則能掌握先機。

*出於本研究需要，「影響業務」是指造成下列任一或更多後果的網路攻擊或入侵相關之事件：損失客戶、員工或其他機密資料；日常運作中斷；為勒索軟體付出贖金；財務損失或遭竊；和/或智慧財產遭竊。

在迅速變化時管理安全態勢

在情勢迅速變化的期間，尤其重要的是瞭解新業務策略如何擴大企業的攻擊破綻，同時帶來新風險。身為安全主管必須能衡量上述變化對企業安全態勢的影響，並且用對方能夠理解的方式，將資訊傳達給企業內的同事。

為了實現這兩項需求，Tenable 建立了 Cyber Exposure Score ，這是一套簡單客觀的評分系統，可呈現出貴公司技術與業務風險的綜合樣貌。CES 採用資料科學，利用結合弱點資料與其他風險指標 (如威脅情報與資產重要性) 的機器學習演算法每天自動更新。評分結合了 Tenable 的弱點優先順序評分 (VPR)，測量出可利用性的可能概率與潛在影響，並且搭配 Asset Criticality Rating (ACR)，追蹤每一項受影響資產的業務價值。

隨著威脅版圖不斷演變，持續溝通成為必要之舉，Tenable 也支援持續檢視 Cyber Exposure 趨勢，包含顯示長時間改良或減少情形的多項視覺化功能，讓您與企業利害關係人可以洞悉資安計畫的成效。該產品可顯示出貴公司在過去六個月以來的 CES，並特別強調七天內的變化，警示潛在的安全問題。這項資料可用來將貴公司的長期進度製成圖表，識別問題區域，依此分配資源。

即使有多項工具任憑使用，資安主管仍難以消弭業務與安全之間的斷層。

如何向貴公司的高階主管說明網路安全計畫的業務風險背景資訊？

安全與風險管理主管擁有大量架構與控制措施在手，可衡量其計畫最精細的面向。雖然這類指標在協助管理安全團隊的日常運作上價值極高，要向業務主管說明時也不無短處。

面對高階主管或甚至是稽核委員會層級時 (通常是負責安全的董事會單位)，高階主管會想瞭解網路安全計畫對於企業實現核心價值主張的能力有何影響。不過，Forrester Consulting 受到 Tenable 委託進行了一項超過 800 名業務主管與網路安全主管參與的全球調查，發現 66% 的業務主管對安全團隊量化公司風險或安全程度的能力 (最多) 只有一點信心。

現行的網路風險衡量方式無法提供企業所需的業務背景資訊。

這不表示安全主管做得不對。反之，它突顯出無法避免的現實：現行的網路風險衡量方式無法提供企業所需的業務背景資訊。研究中，超過半數的安全主管沒有自信自己擁有技術或流程，能預測出公司業務的網路安全威脅，將近五分之二的人更不確定自己是否擁有這些資料。

如何計算網路風險？

網路風險是由貴公司資產、安全控制措施、威脅、弱點在任何指定時間點組成的函式。若不清楚哪些資產對於貴公司核心業務價值的重要性最高，就不可能知道哪些網路風險會對業務構成實際威脅。在找出最關鍵的資產後，下一步是瞭解貴公司每年面對的成千上萬個威脅和弱點，以找出實際上對核心資產造成最高風險的威脅與弱點。

Forrester Consulting 訪問調查的安全主管中，過半數 (56%) 在為弱點排定優先順序的程序中，皆未套用業務風險管理的目標。

Forrester 的研究指出，只有不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。超過半數 (56%) 的安全主管在為弱點排定優先順序的程序中，皆未套用業務風險管理的目標。只有半數 (51%) 的資安主管表示，其團隊會與業務利害關係人密切合作，讓成本、績效及降低風險的目標與業務需求密切配合。此外，4 位安全主管中只有 1 位表示，自己會固定與業務主管共同檢討安全部門的績效指標。

該研究還揭示：

• 超過半數 (56%) 安全主管表示，自己的企業缺乏良好的能見度，難以掌握最關鍵資產的安全狀態。
• 有 60% 左右的受訪者表示，自己對於內部員工的風險評估能見度為高度或完整，但是員工遠端工作或在家工作時，只有 52% 的人展現同樣的自信。
• 只有 51% 的人表示自己擁有高度或完整能見度，瞭解承包商或合作夥伴使用的系統，換成第三方廠商時，則有 55% 的人持相同想法。

若沒有業務背景資訊，您就無法計算網路風險

資深業務主任與董事會最常向安全主管提出的兩個問題分別是：「我們公司安全嗎？」以及「我們的計畫與同業相較如何？」

然而，安全主管跟業務主管不同，手上的客觀資料有限，又要藉此建立必要的資產、安全控制機制、弱點網路風險方程式，才能回答上述兩個問題。任何現有架構都無法掌握資訊安全作業的全貌，安全主管因此得將一大堆測量指標東拼西湊起來。如果缺乏針對各個資產業務背景資訊的客觀測量步驟，貴公司的網路風險計算效用也很有限。

Forrester Consulting 研究的安全主管中，不到半數的人認為自己使用的產業指標分析架構在準確通報業務風險上非常有效。

此外，Forrester 的研究顯示，不到半數的安全主管認為自己使用的產業指標分析架構在準確通報業務風險上非常有效。超過半數的安全主管表示，自己並未對安全控制措施進行充分的指標分析。

同時，企業的攻擊破綻中牽涉了太多變數，以至於短期內很可能無法讓整個業界就安全指標達成共識。從來沒有企業能保證自己 100% 安全。安全主管只能在取得資訊之後計算出可接受的風險等級，藉此做出業務決策，評估企業在處理完合理等級的曝險之後，應該能達到何種程度。

如何利用手上的資源，開始消弭網路安全與業務之間的斷層？

利用既有資料朝必要方向邁進

風險是相對的，並非絕對。企業內部永遠都會存在風險。問題在於，企業主管是否採取了特定業務行動，使風險降低或增加。現有的資安評估選項只提供了快速劃分界線的能力，這是個起點，可由此開始尋找進一步改良安全計畫所需要的工作內容。

若要判別對貴公司而言最重要的關鍵風險指標，沒有什麼萬能的方法。身為業界專業人員的安全主管，能做的只有開始合力制定業務風險指標，確立對於高階業務主管來說最有意義的指標。

為此，Tenable 安全長 Robert Huber 提供了以下的真實世界問題清單，這是他職業生涯中許多董事會與高階主管提出過的問題。準備與企業資深主管開會時，請考慮這些例子。

1. 最關鍵的風險、部門、資產是什麼和/或在哪裡？
2. 目前如何保護它們？
3. 與業界以及同行相比，我們的計畫有多成熟？
4. 改善成熟度的藍圖為何？
5. 與競爭對手或業界同行相較，我們的資安計畫取得資源的成效如何？
6. 業務關鍵性最高的部門現在是否比一年前更加安全？
7. 我們如何因應 (插入最近佔據頭條的弱點)？

或許以上問題會讓您想到其他值得衡量的業務風險指標，這樣安全主管就有可能一起找出更好的方法，實現網路安全與業務之間的合作。

在向業務主管與董事會說明自己的安全策略時使用共通的語言

消弭業務與安全之間的落差是一項挑戰。安全主管需要更好的方式，回答業務主管提出的問題。Forrester 的報告明確說明，企業需要可以清楚明瞭地衡量業務風險的工具，讓業務主管據以採取行動，同時提供​安全團隊需要的功能廣度。這正是 Tenable Lumin 派上用場之處。

• 計算並說明貴公司的網路曝險
  Cyber Exposure Score (CES) 結合了弱點資料與威脅情報和資產重要性等其他風險指標，可提供客觀的網路風險衡量方式。CES 適用於所有資產群組，無論是單一資產或整體企業的所有資產，皆可採用。有了這項資訊後，您就能針對防護工作排定優先順序，保護最關鍵的部門與資產，同時通報進度。
• 利用「Cyber Exposure Trending」追蹤進度
  先進的視覺化呈現方式藉由衡量安全計畫在執行一段時間之後的成效，協助理解風險改善的趨勢。掌握貴公司在過去六個月以來的 CES，並特別強調七天內的變化，警示潛在的安全問題。這項資料可用來將貴公司的長期進度製成圖表，識別問題區域，依此分配資源。
• 指標分析貴公司相較於同業的成熟度
  企業可以對比其他業界同行進行指標分析，迅速找出自身的優缺點。許多關鍵指標都能使用指標分析，例如 CES 與評估成熟度，藉此提供基準，用於分析與貴公司資安營運的成效，並且與同業以及整體平均成效比較。
  
• 分析貴公司的落差與最佳做法
  由於 CES 可適用於所有資產群組，資安團隊可進行內部營運小組 (如業務單位、運算環境、分公司據點) 相互間的對比指標分析。此分析有助於團隊將注意力和資源集中於高曝險的地方，找出跨企業的最佳做法。可利用企業現有的標籤來自訂資產的分組，以便篩選和分析不同的企業部門。

當安全和業務部門針對共同的背景資訊密切合作時，就能締造出顯著成果。實現方法如下。

網路安全主管淹沒在資料之中。您知道有多少弱點。您知道部署過多少修補程式。您能背出最新威脅的準確細節。不過，即使您掌握了這一切資訊，可能還是難以自信地回答「我們多安全或多危險？」這個問題。

原因何在？因為您遺漏了一項關鍵資訊：業務背景資訊。

典型的企業安全或風險等級計算方程式，通常都是一個由資產、安全控制措施、威脅、弱點組成的函式。若缺少業務背景資訊，相當於不知道哪些資產對於貴公司的核心價值主張來說最為關鍵，也不知道關鍵資產使用了哪些安全控制措施，因此任何安全風險計算的結果最多只能算是殘缺不全。

不過，安全主管無法靠著單打獨鬥，就培養起對業務背景資訊的認識。若想培養認知，業務主管與網路安全主管之間就需要一定程度的策略合作，這正是大多數企業缺乏的。Forrester Consulting 受委託進行的研究顯示，業務與安全部門之間存在明顯的斷層：研究中，只有 54% 的安全主管和 42% 的業務高階主管表示，自己的網路安全策略完全或密切配合業務目標。研究顯示，制定網路安全策略時，不到半數的安全主管表示自己會頻繁諮詢業務主管。更糟的是，10 位業務高階主管中有 4 位在制定企業的業務策略時，幾乎不會 (就算有也很少) 諮詢安全主管。

Forrester Consulting 的研究中，只有 54% 的安全主管和 42% 的業務高階主管表示，自己的網路安全策略完全或密切配合業務目標。

不過，同一份研究也顯示，安全與業務單位密切合作時，就能交出亮眼成果。例如，與業務單位密切合作的安全主管能夠：

• 準備好報告安全狀況與風險。相較於孤立行事的安全主管，與業務單位密切合作的安全主管對於報告其企業安全或風險等級的信心高出了 8 倍。
• 準備好說明安全計畫的投資報酬率。絕大多數與業務單位密切合作的安全主管 (85%) 都能掌握指標，追蹤網路安全的投資報酬率以及對業績影響的指標。相較之下，偏向被動回應或孤立行事者只有 25% 能掌握這類指標。
• 掌握定義明確的指標分析流程。在 10 位與業務單位密切合作的安全主管中，將近 9 位 (86%) 都備有流程，可提出明確期望，做出相對於同業和/或內部部門成效更佳的持續流程改善。未密切合作者則只有 32% 的人能做到。

以上並不表示，實現密切合作的責任完全落在安全主管的肩膀上。有些企業在文化上容易產生孤立行事的情形。無論投入多少心力，如果任職的企業有這種文化，就可能一直難以和業務主管密切合作。

如果您不確定貴公司的合作情形，在此提供一個快速辨別的方法：如果貴公司有業務資訊安全長這種高階主管的職位，那麼在合作程度上就偏向成熟那一端。Forrester 的研究指出，絕大多數與業務單位密切合作的企業 (80%) 都有一位業務資訊安全長 (BISO) 或類似的職位，合作程度較低的企業則只有 35% 設有這類職位。

如何成為與業務單位密切合作的網路安全主管

如果您夠幸運，任職的企業裡已擁有相對成熟的業務與網路安全合作關係，那麼成為與業務單位密切合作的安全主管這條路對您來說就相當清晰，即使可能需要大量心力推進。但是，如果任職的企業屬於合作成熟度較低者，這趟旅程的挑戰就更大了。由於沒有萬能的方法，以下準則提供的選擇大致針對三種合作成熟度所設計。

在企業成熟度各個層面上改善與業務利害關係人合作程度的五個步驟

資料來源：Tenable，2020 年 8 月。

成為與業務單位密切合作的網路安全主管是一場馬拉松，並不是短跑衝刺。這場馬拉松講求的是學習如何流暢使用業務與技術領域的語言。但是，就像 Forrester 的研究所指出的：「現代的安全威脅需要新方法。」準備好將網路安全當成業務風險管理的安全主管，將能掌控未來。

未來屬於能調整目標並且配合業務風險認知的網路安全主管。以下提供邁向此目標的 8 個日常行動。

前幾章已經探討過，在資訊安全主管可以使用的技術、流程、資料中，種種制約因素如何使網路安全與業務之間長期存在的斷層更趨複雜。不過，若忽視了斷層核心裡的人為因素，這一切討論就不會完整。

資安長與其他網路安全主管是公司高層中獨特的參與者。您必須同時流暢使用技術與業務語言。不過，網路安全主管不像財務或銷售部門的同事那樣，可能擁有商務領域的碩士學位或其他類似的教育背景。許多網路安全主管擁有的是技術背景，例如電腦科學。資訊安全主管通常依循企業內的技術位階升遷。您終於升上資深管理階層或高階主管的角色時，這一點會讓您立刻處於劣勢。

資安長與其他網路安全主管是公司高層中獨特的參與者。您必須同時流暢使用技術與業務語言。

因為，技術是您的第一母語。您所使用的工具與流程全都以技術語言為基礎，讓您可以用母語清楚地表達。大多數安全主管勉強學會說起「業務這個第二語言」，不過斷層依然存在，部分原因是您完成工作所需的工具與架構無法輕易翻譯。

一切都是日常工作

在 2003 年的一份 SANS 協會研究報傲就提到了這些今日依然存在的種種挑戰：「資安長的責任和其他公司高層不一樣，就連資訊長也沒有這種責任範圍。」大多數資安長負責執行的工作中，SANS 的研究認為以下最重要：

• 擔任企業的代表，處理客戶、合作夥伴、一般大眾對於企業安全策略提出的問題。
• 與執法機構往來時擔任企業的代表，同時追查網路攻擊與員工偷竊資訊的源頭。
• 使用企業的策略業務計畫平衡安全需求、找出風險因素，並決定前述二者的解決方案。
• 制定提供充分的業務應用程式防護安全原則與程序，同時不干擾核心業務要求。
• 規劃及測試安全漏洞的應變措施，包含與客戶、合作夥伴或是一般大眾談論事件的可能性。
• 監管安全硬體與軟體產品的選擇、測試、部署、維護，以及監管委外的作業。
• 監管負責企業安全的員工團隊，從管理防火牆裝置的網路技術人員到保全警衛皆包含在內。

資安長角色的責任範圍之大，可能難以確定該從何著手，替一天的工作時間排定優先順序。大多數資安高階主管都偏好待在上述最後三點所代表的技術舒適圈裡，花時間為資安事端做好規劃，監管將資安事端發生機率降至最低的各項作業。

然而，待在自己的舒適圈內無法讓任何人更安全。根據 Forrester Consulting 受委託進行的研究，94% 的企業在過去 12 個月內都遭遇過網路攻擊，造成下列至少一項後果，包括：損失客戶、員工或其他機密資料；日常運作中斷；為勒索軟體付出贖金；財務損失或遭竊；和/或智慧財產遭竊。此外，絕大多數受訪者 (77%) 預估，網路攻擊在未來兩年內將會增加。

同份研究還發現，有 66% 的業務主管對他們安全團隊量化公司風險或安全程度的能力 (最多) 只有一點信心。

成為與業務單位密切合作的安全主管：8 個步驟

很顯然地，您必須做出改變。安全主管必須找出方法，改善與業務部門的合作。要做到這一點，就需要每天投入。必須注意自己排定時程優先順序的方式，確保您的作業安排讓您有充分時間專注在與業務部門配合上。以下提供能夠融入日常工作的八個實務做法，讓您步向與業務密切合作的未來：

1. 每天花時間檢視貴公司的對外文件。留意貴公司高階主管透過財務報表、新聞稿、新聞文章、社群媒體網站以及產業論壇傳達的事項。
2. 安排時間與業務單位高階主管共同瞭解他們的日常挑戰，建立友善的關係。學習他們的績效衡量方式。幫助他們學會將安全視為實現業務需求的助力，而非阻力。如此一來，他們就更有可能在制定策略計畫時提早請您參與。
3. 培養實務知識，瞭解所處產業裡各個企業所面對的優先要務與挑戰。加入職業工會或其他專業人士的組織，閱讀專業期刊中企業對企業方面的文章，參加網路研討會與其他業界活動。如此一來，您將能掌握實用的詞彙與重要觀點，有助於自己調整安全計畫，更密切配合貴公司的獨特業務需求。
4. 定期與公司高層主管會晤，善用會晤時間瞭解他們的顧慮。唯有瞭解更廣泛的業務痛點，才能開始全盤瞭解，明白「風險」對貴公司真正的意義。
5. 善用每季業務檢討會議，當成主要的學習機會。仔細傾聽同事提出的策略型優先要務與痛點，並且思考造成影響的外部業務因素。留意每一位高階主管說明自己業務投資報酬的方式，想辦法藉此調整自己的安全投資報酬率指標。
6. 打造可靠業務顧問組成的人脈網。與橫跨各個業務部門的導師互動，請他們提供指引與意見，幫助您改善溝通技巧，更擅長與業務部門互動。
7. 與企業內的風險專業人員建立關係。網路安全既是一種特別的風險，也是所有其他業務風險情境的要素之一。找出自己如何有效參與企業風險管理策略的制定過程，讓網路風險成為其中舉足輕重的議題。
8. 留意企業內部持續演變的第三方關係。您可能具有關鍵關係的實用知識，例如薪資處理廠商或企業資源規劃廠商。可是，您有多少能見度，有多瞭解貴公司網路團隊使用的工具和平台？換成為貴公司操作技術提供維護與服務的支援承包商呢？

抽空進行以上所有步驟，並且有效率地執行自己角色的所有其他層面，乍聽之下是難以實現的主張。您無法一次完成所有事情。請選擇一或兩個自己最認同的步驟，由此著手。主動選擇踏出技術舒適圈，提升與業務部門的合作程度後，不只貴企業能夠受益，您本身的職涯也將往前邁進，準備好接下人人夢寐以求的「重要位置」，帶動業務風險策略的實施。

可用來與業務部門配合的工具

Tenable 提供您在整個攻擊破綻中洞察一切、預測最重要的事以及採取行動以因應風險的工具。能夠清楚、明確且具權威性地回答「我們有多安全或多危險」這個重要的問題，是與業務單位密切合作的安全主管通過每一天考驗的核心。

洞察一切

洞察一切：由於威脅版圖持續變化，貴公司需要透過提供曝險環節明確洞見的即時儀表板，持續深度評估自身的融合式攻擊破綻。Tenable 可讓使用者清楚掌握有助擬定現代業務策略的工具和技術，包括雲端、容器、基礎架構、操作技術 (OT)、web 應用程式等等。會擴大企業攻擊破綻並且為企業帶來風險的也是這些工具。利用 Tenable 解決方案，貴公司就能評估每個資產的狀態，包含弱點、錯誤設定與其他資安狀況指標。Tenable 主動掃描、代理程式、被動監控和雲端介接軟體可提供能見度，持續監控所有資產，包括已知和先前未知的資產。Tenable 具備業界最全面的 CVE 和安全組態支援服務，可協助您洞察並瞭解自己的所有曝險。

預測最重要的事

許多企業因為弱點過多而疲於應付。2019 年內發佈了超過 17,000 個新弱點，但只有不到 7% 的弱點公佈過主動攻擊程式。關鍵在於趁著弱點遭到攻擊利用之前，判別出最危險的弱點。Tenable 擁有超過二十年經驗以及取自 5PB 資料湖的機器學習演算法，資料湖中更包含了超過 20 兆個不間斷評估的威脅、弱點、資產資料點，讓企業能判別出對業務與業務策略的安全執行影響最大的弱點、關鍵資產和風險。Tenable 的預測方法讓企業能依據現有及新興威脅，以及威脅對業務的潛在影響，排定工作的優先順序。如此一來，企業就能聚焦於攻擊者最有可能利用的弱點，第一時間修復關鍵環節。

採取行動以因應風險

被動、孤立、短視的安全策略造成安全主管無法清楚掌握其企業的網路安全狀態，也難以瞭解哪些威脅構成最大的業務風險。他們因此難以採取行動，也很難和團隊及業務主管有效溝通。Tenable 提供適用於衡量網路風險及計畫成熟度的指標，以便改善企業流程、因應風險，以自信清楚的方式傳達ˊ結果。結合這些指標就能掌握共通語言，管理業務轉型速度及適當安全態勢之間的平衡。Tenable 的曝險量化與指標分析功能讓企業可以比較內部運作以及自己和同業之間的長期成效，這些指標對預算編列、資源分配及流程改善非常重要。

有了 Tenable 解決方案，您就能輕鬆確定重點領域並發揮安全投資的最佳成效。以視覺方式呈現攻擊破綻的全貌後，從分析師到高階主管等所有人員都能快速瞭解、溝通、採取行動，降低貴公司企業的 Cyber Exposure。