根據(jù)Proofpoint的數(shù)據(jù)顯示，61%的CISO認(rèn)為自己未做好應(yīng)對(duì)網(wǎng)絡(luò)攻擊的準(zhǔn)備，68%的人認(rèn)為其組織面臨攻擊風(fēng)險(xiǎn)，因此，現(xiàn)代CISO常常覺得自己是替罪羊，處境艱難。

在與全球領(lǐng)先的財(cái)富100強(qiáng)企業(yè)中的數(shù)百位CISO合作時(shí)，我了解到了他們面臨的最大挑戰(zhàn)，并幫助他們轉(zhuǎn)變?yōu)閮r(jià)值創(chuàng)造者和可信賴的合作伙伴。盡管沒有萬全之策，但CISO可以采取一些步驟來提升其網(wǎng)絡(luò)安全計(jì)劃的價(jià)值，為應(yīng)對(duì)不斷變化的目標(biāo)做好準(zhǔn)備。

讓董事會(huì)參與進(jìn)來

董事會(huì)通常由具有運(yùn)營、財(cái)務(wù)、銷售等行業(yè)經(jīng)驗(yàn)的資深高管組成，但可能缺乏對(duì)網(wǎng)絡(luò)安全的詳細(xì)技術(shù)理解，然而，CISO在捍衛(wèi)其網(wǎng)絡(luò)安全計(jì)劃的有效性時(shí)，面臨著越來越多來自董事會(huì)的審查。

為了展示其計(jì)劃的價(jià)值并證明其有效性，CISO必須建立清晰的溝通，克服董事會(huì)與其團(tuán)隊(duì)之間的脫節(jié)。CISO有責(zé)任確保董事會(huì)了解其企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)水平以及提高其企業(yè)網(wǎng)絡(luò)彈性的需求。以貨幣形式呈現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)水平并提供可操作的下一步措施是讓董事會(huì)達(dá)成共識(shí)并打開誠實(shí)溝通的必要步驟，同時(shí)將其網(wǎng)絡(luò)安全團(tuán)隊(duì)提升為價(jià)值創(chuàng)造者的角色。

在不增加網(wǎng)絡(luò)風(fēng)險(xiǎn)的情況下提交誠實(shí)的SEC 10K(真的可以!)

證券交易委員會(huì)(SEC)和其他監(jiān)管機(jī)構(gòu)的新披露要求要求CISO對(duì)其重大風(fēng)險(xiǎn)有深入了解，并披露他們?nèi)绾喂芾砗屯晟破渚W(wǎng)絡(luò)安全計(jì)劃，然而，2024年初提交的SEC 10K的最新分析顯示，31%的企業(yè)沒有網(wǎng)絡(luò)安全披露，23%的企業(yè)沒有量化或描述其網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法。

CISO深感擔(dān)憂，在公共領(lǐng)域分享太多關(guān)于其網(wǎng)絡(luò)安全狀況的細(xì)節(jié)，因?yàn)檫@可能會(huì)使其組織面臨不必要和可預(yù)防的風(fēng)險(xiǎn)，到2025年預(yù)計(jì)網(wǎng)絡(luò)攻擊將造成10.5萬億美元的損失。

在保護(hù)企業(yè)網(wǎng)絡(luò)防御的同時(shí)提交誠實(shí)的10K需要微妙的平衡，我們已經(jīng)看到Clorox在這種平衡失誤時(shí)成為受害者的例子。

一個(gè)誠實(shí)且平衡的SEC 10K的好例子是Lockheed Martin(洛克希德·馬丁公司)2024年的SEC 10K文件，該文件采用了描述性方法，該公司將CISO命名為其安全戰(zhàn)略的負(fù)責(zé)人，概述了具體的網(wǎng)絡(luò)安全政策、框架和合規(guī)要求，表明了企業(yè)的網(wǎng)絡(luò)安全計(jì)劃的成熟度，他們主動(dòng)描述了其網(wǎng)絡(luò)風(fēng)險(xiǎn)模型，并明確了供應(yīng)商和第三方風(fēng)險(xiǎn)管理的方法。Lockheed Martin還提到使用第三方評(píng)估、滲透測試、審計(jì)和威脅情報(bào)等技術(shù)來測試控制設(shè)計(jì)和效果，這些都是擁有強(qiáng)大風(fēng)險(xiǎn)管理計(jì)劃并提交平衡誠實(shí)的SEC 10K的關(guān)鍵要素。

采用GenAI來降低網(wǎng)絡(luò)風(fēng)險(xiǎn)

根據(jù)Gartner的數(shù)據(jù)，目前只有足夠的合格網(wǎng)絡(luò)安全專業(yè)人員來滿足70%的需求。隨著威脅環(huán)境的迅速發(fā)展，對(duì)合適人才的需求無疑會(huì)增加。

有效管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要識(shí)別關(guān)鍵漏洞并評(píng)估安全控制的有效性，然而，來自不同來源的海量數(shù)據(jù)以及團(tuán)隊(duì)規(guī)模的停滯，使得CISO很難全面了解這些風(fēng)險(xiǎn)。

通常，安全團(tuán)隊(duì)的核心障礙在于將原始數(shù)據(jù)轉(zhuǎn)化為可操作的洞察，這是促進(jìn)整個(gè)組織有效降低風(fēng)險(xiǎn)所必需的。通過利用GenAI、深度學(xué)習(xí)和其他專門的機(jī)器學(xué)習(xí)技術(shù)來分析數(shù)百萬個(gè)資產(chǎn)和漏洞實(shí)例，安全團(tuán)隊(duì)可以訪問實(shí)時(shí)、可操作的洞察，并迅速降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。

此外，這還能使安全領(lǐng)導(dǎo)者了解其安全計(jì)劃的有效性，并展示其網(wǎng)絡(luò)安全舉措的投資回報(bào)，這最終也使與董事會(huì)的對(duì)話更加輕松和富有成效。

鑒于網(wǎng)絡(luò)安全形勢不斷演變的速度，CISO的工作變得越來越艱難，他們不僅要成功防御組織面臨的威脅，還要向董事會(huì)和SEC提供其有效性的證據(jù)。跟上最新技術(shù)的步伐，并確保與非網(wǎng)絡(luò)安全相關(guān)利益相關(guān)者之間的開放和誠實(shí)的溝通，是在組織中充分擔(dān)當(dāng)價(jià)值創(chuàng)造者角色的關(guān)鍵。