将网络安全策略与公司的风险承受能力保持一致

当我们探讨“我们应承担多少风险”这一核心问题时，关键在于量化风险承受能力，并清晰地区分它与风险偏好之间的界限。Goerlich指出：“风险偏好具有高度的可变性，它可能因董事会成员的不同而有所差异，而对其的理解往往依赖于CISO的直觉和洞察力。”

相反，风险承受能力应当围绕一个明确的目标或风险场景，CISO在讨论过程中应能构建合理的假设。Goerlich进一步阐述：“若我们能详尽地描述风险，这样的对话才会具备成效，并使所有人对风险本身及应对措施达成共识。”

因此，建议CISO在决策时充分考虑事件可能给组织带来的长远影响，以及考虑可能会因此引发哪些不满，同时避免将技术细节的指导责任推给董事会成员。Goerlich强调：“除非董事会成员具备技术背景，否则他们就只会指望CISO能有效地控制住风险。”

在探讨如何引领风险对话并推动管理对齐的议题时，Momentum Technology的合规顾问总监Mary Carmichael指出，CISO的核心任务在于量化网络风险并构建成熟的风险报告机制。作为ISACA的CRISC认证委员会的关键成员，Carmichael在风险框架的前沿开发中发挥着重要作用。她强调，通过参考如IBM数据泄露成本报告等行业数据，可以更为精准地把握网络风险的可能性与潜在冲击。“这一做法对于医疗和教育等领域尤为重要，这些领域在网络安全上的投资往往不足。”

在风险管理的宏观图景中，组织需深化对风险的理解，特别是鉴于董事会最终承担风险监督的责任，并可能将部分管理权授予执行层。Carmichael对此表示：“风险管理不仅是CISO的职责，管理层同样需要洞悉运营中潜藏的风险，并与CISO携手制定有效的控制措施。”

为了确保风险承受能力与业务目标相契合，深入的风险评估与战略规划不可或缺。Carmichael认为，提升对风险管理的认知，明确风险责任人，并将风险评估嵌入战略规划流程，是当前亟需解决的问题，这包括了运用情景分析手段，以评估网络事件对财务状况的潜在影响。通过构建风险情景，企业能够预估网络事件可能带来的损失，这包括了声誉、财务及运营层面的冲击，因此需要向高层管理者进行清晰地呈现。

为了有效应对网络威胁，组织应开展全面的模拟演练，覆盖从外部攻击到内部威胁的各类场景，并借鉴最新的安全事件报道，以洞悉并缓解新兴风险。

值得注意的是，那些出乎意料且难以预见的危机始终潜藏于暗处。以CrowdStrike事件为例，一次意外的更新竟导致全球范围内大规模的系统瘫痪。“谁能预见到CrowdStrike会引发如此广泛的全球影响？”Carmichael的提问引人深思。

然而，这一事件也为CISO们敲响了警钟：在未来的风险管理中，必须考虑到“数字世界崩盘”的可能性，并要为此制定相应的策略。无论是面对直接的网络攻击还是由第三方引发的系统中断，企业都应通过模拟完全系统中断来检验恢复计划的可行性，优先保障关键系统的安全，并确保在最坏的情况下仍能从备份中恢复关键数据。

在将网络安全战略与组织风险承受能力相匹配的过程中，CISO的一个重要策略是深度参与组织的战略规划过程。Carmichael对此强调：“通过设立风险委员会并积极参与业务讨论，CISO能更全面地理解并应对新技术与项目所带来的风险，从而有效支持组织的整体战略发展。”

对此，网络安全咨询公司SingerLewak LLP的总经理Carl Grifka指出，信息安全委员会在其中扮演着不可或缺的角色。“我们不仅需持续评估网络安全环境，还需深入了解组织的风险承受能力与风险偏好，以指导我们实施相应的控制措施。”

该委员会作为跨部门的协作平台，定期汇聚了包括高管、IT、安全团队，甚至董事会代表在内的各方力量。对于处于较低成熟度阶段的组织而言，需要频繁地召开会议，特别是在修复阶段，这些组织要通过紧密合作来缩小安全态势中的差距。Grifka说：“委员会成为了我们沟通协作的桥梁，其能确保每一步都紧密相连。”

而对于成熟度较高的组织，委员会则成为了审视与应对风险环境的重要机制。Grifka表示，委员会应定期向组织报告信息安全状况，确保管理层对安全态势有着清晰的了解。

为了减轻CISO的负担并增强其影响力，委员会应积极与其他业务领导者建立并维护良好的关系。通过增强互动与信任，CISO能够更及时地获取业务动态，并在关键时刻提供宝贵的见解与支持。Grifka建议：“当业务负责人考虑新举措时，他们应主动与CISO沟通，而CISO也应以开放的态度参与其中。这样的互动不仅有助于提升组织的整体安全水平，还能促进跨部门之间的协作与信任。”

通过深入洞察业务运作，我们能够更加顺畅地将组织的风险承受阈值转化为实际的安全防护态势。而实现这一目标的基石，则是构建一个健全且适宜的框架，确保组织不会超出自身所能接受的风险范围。

这一流程首先聚焦于成熟度水平的全面评估，即将我们现有的控制措施与行业标准框架进行比对，进而明确组织所追求的成熟度层次，并据此制定出具体的控制策略。Grifka对此强调：“我们必须避免过度投入于控制措施，以免削弱效率并带来不必要的成本开支。”

在追求平衡的同时，我们也必须认识到这是一个动态变化的过程，而非一成不变的既定策略。“因为当前的合理做法在未来两年内可能不再适用，所以我们必须定期审视并调整这一流程，以确保其与时俱进。”

网络安全风险本质上是一种业务风险，需要借助IT控制措施来应对。然而，CISO面临的一个关键挑战在于，他们必须深入把握这些风险背后的真正含义。正如Goerlich所阐述的那样，风险的核心不在于未修复的漏洞本身，而在于这些漏洞可能对业务造成的广泛影响。“作为安全领域的领航者，我们提升风险认知并引导关于风险容忍度的讨论，建立在我们能否将风险置于业务环境，以及我们所提供的产品框架能否让众人信服。”

Goerlich进一步指出，CISO的专业知识背景在这一过程中发挥着重要作用。拥有GRC（治理、风险与合规）背景的CISO通常更擅长将安全风险与业务风险紧密相连，因为他们深刻理解合规要求。相比之下，那些来自SecOps（安全运营）领域的CISO可能会面临更多挑战。

但无论如何，CISO都需保持对业务运营环境的敏锐性，并运用恰当的指标来展示风险管理的成效。我们的目标是清晰展现风险正在逐步降低，同时证明CISO所实施的风险应对策略是行之有效的。据IANS报告指出，为实现这一目标，CISO需要不断提升自己的商业洞察力，这将要求他们能够以建设性的方式将风险视为推动业务发展的机遇。Goerlich对此强调：“这种商业洞察力体现在对业务风险影响的深刻理解上，而非仅仅关注技术层面。”

然而，Goerlich也承认，“积极风险”是安全负责人难以捕捉和利用的一个领域，这在一定程度上是因为网络安全的负面影响往往显著，而正面影响则可能仅仅表现为没有发生安全事件。因此，Goerlich鼓励CISO与其他技术负责人建立更加紧密的合作关系，共同理解业务目标，并识别与之相关的风险。这包括与CIO或CTO携手合作，共同探索实现目标的新途径，因为单打独斗往往难以取得理想效果。

长期以来，CISO和网络安全团队一直被视为“Say No”的代名词，并因过度厌恶风险而饱受诟病。但Carmichael指出，如果业务的核心在于抓住机遇，那么增长就意味着要勇于拥抱和管理风险。“无论是引入AI、IoT等新技术，开发新应用，还是拓展新市场，并购新业务。这所有的一切都该成为机遇。”

为了改变这一形象，CISO和网络安全负责人需要积极调整策略，以更具建设性的方式支持组织的增长计划。因此，当下，CISO的职责之一就是在推动这些计划的同时，确保业务的安全得到妥善的保护。

对于安全负责人该如何将网络安全策略与公司的风险承受能力保持一致，国内安全专家如此建议。

某企业安全负责人肖文棣表示，虽然公司的安全风险承受能力决定了公司的安全策略，但一般来说，公司都是通过标准的框架来做安全策略的，不会过多考虑安全风险承受能力，安全风险承受能力是用于风险例外评估用的。“其次，CISO不能代替业务做主，这是我个人的观点。公司有自己的一般安全风险承受能力，但是不同的业务也有自己的安全风险承受能力，不能一概而论。”

某跨国企业CSO赵锐表示，作为安全负责人，需要做好以下几点：

一、明确公司的风险承受能力

1、分析公司的财务状况，了解公司的财务强度和稳健性。评估公司愿意为实现业务目标而承受的风险程度。

2、与公司高层乃至董事会进行沟通，了解他们对公司风险承受能力的看法。

3、确保网络安全策略与公司的整体战略方向保持一致。

4、量化公司的风承受能力，例如：财务损失、声誉损失等。

二、制定与风险承受能力相匹配的网络安全策略

1、评估公司网络安全的风险，识别潜在网络安全风险。

2、根据风险评估结果和公司的风险承受能力，完善网络安全策略。

3、结合业务流程、生命周期落实网络安全策略。

三、监控与优化

根据公司业务变化、技术发展，定期审查更新网络安全策略，建立安全管理体系、采用合适的技术手段，确保网络安全策略与与公司的风险承受能力保持一致。

四、增加沟通合作

1、与各部门密切合作，建立并完善跨部门信息共享与合作机制，共同应对网络安全挑战与风险。

2、开展有意义的网络安全培训与培训，提升所有人员的网络安全认识和责任。

3、与监管机构保持沟通，了解最近的法律、法规和标准，并分析对公司的影响，采取合适的措施。

赵锐指出，安全负责人需要全面考虑公司的风险承受能力、业务需求和技术能力等因素，制定并实施与风险承受能力相匹配的网络安全策略。同时，还需要持续关注网络安全动态和技术趋势，不断优化和完善网络安全措施和策略，以确保公司业务相关的网络系统和数据安全。