Talking Cyber Security with the Board of Directors

与董事会讨论网络安全

来自 Web Security Products 副总裁 Josh Shaul 的观点

董事会成员现在需要了解有关网络安全的哪些基本知识?

董事会成员认识到网络安全越发重要。他们对网络安全的兴趣和关注度很高。因此网络安全进入了他们的议程。但他们可能具有迥然不同的技术背景,因此他们对安全问题的理解存在差别。所以,当首席信息官或首席安全官向董事会报告企业的网络安全状况时,通常需要完成一些教育和培训工作。

董事会成员首先应该了解安全威胁的状况以及威胁如何不断变化。这包括了解有关攻击和防御类型的一些基础知识。他们应该了解不同的攻击(DDoS、恶意软件、网络攻击)需要不同的防御措施。安全性十分复杂。

其次,他们应该认识到,当企业支持在线运营并且与客户和合作伙伴(有时在全球范围内)密切联系时,传统的边界防火墙不足以抵御攻击。边界必然具有开口,当网络和应用程序对客户开放时,这些开口也会受到攻击。由于业务变得非常分散,因此安全性也必须分散。

第三,认识到没有牢不可破的防御工事。“企业安全吗?”不是一个是或否的问题。要讨论的问题是:企业是否足够安全以便成功运营?我们愿意承受多大风险?我们愿意投资多少来降低风险?

第四,要知道因地制宜才能取得成功。关于重大泄漏行为的头条新闻不断提醒我们泄漏代价是多么高昂,我们可以从其他人的经历中吸取教训。但是,即使存在媒体报道,网络安全也必须以企业特有的潜在威胁和漏洞作为关注点。

在理想情况下,首席信息官或首席安全官会如何告诉董事会本地的安全态势?

讨论范围涵盖三个主题:防御、客户和响应。

防御方面:我们拥有有效的防御。我们关注威胁形势的变化。我们可以看到我们的数字资产和网络。我们已尽最大努力避免自己成为网络攻击的下一个受害者。除了边界防御之外,我们在云端拥有全球防护屏障,可以保护我们的资产和通信,而不受地域的限制。我们还采取与防范外部威胁同样严格的举措来监控内部通信并防范内部威胁。而且非常重要的是,我们通过“实弹射击”定期测试和验证我们的防御体系。我们雇用专业黑客来攻击我们,并立即修复可以破解的方面。

客户方面:我们一直在监视客户对我们业务的访问,并希望他们在与我们互动时获得良好且安全的体验。我们了解他们正常的在线行为,我们在仔细观察任何异常访问。我们确保真正的客户与我们的系统进行交互,而不是冒充他们的机器人。当我们发现欺诈者可能窃取了客户的凭据甚至身份时,我们会通知客户。因此,我们一直在保护客户,保护他们的隐私和数据,从而不断获得客户的信任。

响应方面:即使出现最坏的情况,我们也做好了准备。我们的团队受过专门培训。他们知道在发生网络攻击或数据泄漏时如何应对。我们制定了“游戏”计划,包括要通知哪些人、需要哪些人参与,这些人包括执行高管、公司的法律人员和通信人员。我们知道如何收集证据并执行事故调查。我们实施真实的事件响应训练。我们不会仓促行事,因为我们已将事件响应流程锁定,并且我们已经反复实践过。

总结一下:我们尽最大努力保护企业,保护我们的客户,即使是意料之外的事情,我们也做好了准备。现在,您会说处于“理想状态”。目前,没有多少组织可以坦诚地说出所有这些话。

为什么呢?有什么问题?

简单的回答通常是缺乏资金而无法支持更完整的安全计划。但这是表面现象。稍加分析一下,便会发现问题在于他们缺乏对安全背景和方向的了解。许多组织很难确定他们需要多大程度的安全,或者他们愿意承受多大风险,或者他们愿意花多少钱将风险提高到可接受的水平。

为了帮助克服这些障碍,我们建议制定企业风险偏好正式声明。例如,财政部内部的政府机构对技术的整体风险偏好相当低,分为以下几种:
  • 无风险偏好 - 针对未经授权访问系统,因此控制措施必须尽可能严格。
  • 低风险偏好 - 针对业务弹性,这意味着如果系统出现故障,他们需要尽快恢复。
  • 中等风险偏好 - 针对使用创新技术解决方案来满足用户需求,因此允许在一定范围内进行实验。
对于试图在全球范围内开拓市场并且全天候运营的商业企业,其风险偏好则与政府机构截然不同。关键在于明确表达自己的立场,设定一些有用的界限,并在此基础上保持一致。对于像网络安全这样重要的领域,风险偏好的调整和签署应该扩展到执行团队,而且执行团队应确保董事会理解其决策。

安全指导原则的此类声明是一种强有力的管理方法。这种方法切实考虑到企业利益,有助于确定安全目标和行动的优先顺序,并能提供决策依据。在对指导原则中提出的广泛前景表示认可之后,利益相关者会就具体细节更倾向于同意,并且更愿意做出妥协。那些负责管理安全活动和制定战术决策的人 — 在此情况下是首席信息官和首席安全官 — 拥有更加坚定的立场,并且具有更有说服力的方法来解释和证明他们的行为恰当性。

请详细说明如何确定风险偏好。

它有助于获得一些外部参考点,无论是安全实践的行业基准,还是普通的网络安全成熟度模型。值得信赖的第三方可以评估企业相对于业界同行和竞争对手的安全能力,有时甚至会给出大致预算。结果可以确定并证明所需的行动,尤其是避免成为行业中最容易受到攻击的目标。

成熟度模型将防御、运营和管理流程分为多个能力级别,通常为五个级别左右。某一组织经过评估后可能得出以下结论:“我们处于二级水平,这太低了,我们的业务暴露太高了。”成熟度模型可以指示要达到第三级需要具备哪些额外能力。企业的风险偏好声明应该有助于推动成熟度级别目标。

一种有用的技术是使用本地场景和现实检查来测试风险偏好声明。例如,企业起初可能认为必须全天候为所有在线客户提供服务。但是,如果发生重大攻击,是否愿意关闭关键系统并锁定 30% 的客户以保留其余客户的访问权限?

另一个例子是,企业可能希望完全禁止未经授权访问其网络。但即使是最安全的政府安全机构,这也是一个不可能实现的目标。在大多数组织中,此类访问已经发生并且正在发生。他们面临的挑战是找到并禁止入侵者。因此,现实的风险偏好问题变为:我们最需要识别和包含哪些类型的入侵?

应该提前考虑这些情景,并将其纳入安全响应“游戏计划”中。情景规划应该包括让自己处于攻击者的位置,并预测哪些资产可能最容易受到攻击。如果您可以提供帮助,那么您不会希望在受到攻击和处于“战争迷雾”的情况下即时做出关键决策。

制定和测试风险偏好声明是一个迭代过程,通常以成本为中心,并以实现安全目标所需的现实条件作为驱动力。“我们需要 X 级别的安全性。”“这将耗资 3000 万美元。”“好的,在这种情况下,我们可以忍受低于 X 级别的安全性。”风险偏好声明也可能需要在攻击之后进行修改,因为他们认识到需要更高的安全性,或者认识到组织实际上没有达到其风险期望。

最后但非常重要的是,风险偏好声明不能是通用性的或理论性的。它们必须足以适应您企业的具体情况,以便指导人们做出决策和权衡,包括最困难的决策和权衡。

您提到了对计算环境的可见性,这是有效的网络安全的必要基础。

这是确定无疑的。您对资产、连接、网络活动和漏洞的可见性越完整,越能够保护整个环境。但事情并非那么简单。

要实现全面的安全性,首先需要准确盘点企业的网络、系统和数据,这在多个方面都会遇到挑战。一个常见例子是敏感数据的位置。许多组织并不知道所有敏感数据存储在什么位置。另一个例子是组织的网络表面区域,即可能关联到计算环境的所有连接、合作伙伴和 URL。在长期在线的大型企业中,完整的盘点可能非常难以实现。

即使做到充分盘点,企业对其环境的可见性也可能因为以下任何原因而不完整:
  • 它可能不知道去哪里寻找或去寻找什么。在这种情况下,可以听取专家的一些指导。
  • 它可能不知道如何查看。在这种情况下,他们还可以借助技术工具来监控基础设施。
  • 它可能不想查找,因为担心会发现什么......
这是一种微妙的感觉,也许是安全专员“不愿面对的真相”。可能存在组织不想曝光的“黑暗角落”,因为他们发现他们有义务进行修复,而事实可能证明这是困难和昂贵的。有时看起来最好不要知道您的问题。但事实并非如此。

掩盖问题无济于事。在发生数据泄漏后,无知不会成为理由。但是,找到问题却不解决问题可能说得过去。因为这是一个先后问题。没有哪家企业拥有解决所有问题的资金、人员和其他资源。而且防御能力、成本和业务风险之间存在着不可避免的紧张关系。所以,我们回到风险偏好方面。凭借完全可见性和全面的了解,您可以专注于修复风险最大的漏洞。然后,企业可以在其风险偏好范围内自如地运营。

总结一下我们为首席信息官和首席安全官提供的关键要点。

首先,在与董事会合作时,不仅要介绍技术防御和攻击风险的状况,还要讨论客户保护问题以及发生攻击时安全组织和事件响应程序的准备情况。这些主题共同组成了彻底的尽职调查。

其次,董事会必须明白企业永远不会万无一失。但公司可以在预先确定的可接受的风险偏好中运营。一般来说,首席执行官和董事会应该能够向利益相关者 — 客户、员工、监管机构和股东 — 传达安全战略和风险偏好。

第三,安全主管往往很难获得履行职责所需的资源。许多人发现很难将安全计划的商业价值和必要性传达给金融“看门人”。安全计划有助于与执行团队和董事会定期沟通有关网络安全和风险偏好的信息。获取必要资源的关键可能是与业界同行进行比较。但是请记住,基于风险所调整的安全需求可能不包括安全主管想要实现的所有方面。

第四,当安全能力和风险偏好都很明确时,网络安全计划和流程可以帮助企业设定行动边界。安全性不只是“您不应该如何如何”,它还是“这是您在线运营和创新的自由”。网络安全人员应尽早参与到新业务计划的构思和制定当中。网络安全应该能够促进业务取得进展,同时让威胁望而却步。

Related CIO Content