首席信息安全官知道风险管理对于构建和维护弹性企业安全态势至关重要。然而，尽管他们尽了最大努力和良好的意图，但许多安全领导者仍然不断落入共同的陷阱，破坏了他们的最佳努力。

无论您的企业规模、使命或范围如何，风险管理在其整体安全态势中都起着基石作用。即使是一个看似简单的错误也可能导致严重的后果。而 CISO 将不可避免地受到指责。

一、缺乏明确的目标

商业咨询公司德勤网络风险业务负责人 Kristi Preuss 表示，首席信息安全官犯的最大风险管理错误可能是未能制定明确的计划目标。

Preuss 观察到，许多 CISO 发现自己面临着无数持续存在的问题和日常火灾。因此，他们从未离开消防模式足够长的时间来制定更广泛的信息安全战略，更不用说成功执行了。“相反，许多 CISO 发现自己从第一天起就陷入困境，试图同时解决所有问题，通常只使用旧工具和有限的资源，”她说。

当 CISO 被卷入被动的运营方法中时，企业战略会受到影响，而企业安全控制部门则难以跟上步伐并超越当前的威胁形势。“由于计划目标过时或不明确、战略投资有限以及缺乏创新的战略规划，CISO 会给他们的组织带来伤害，并最终增加信息安全和网络风险，”Preuss 说。

Preuss 表示，对于希望通过主动安全方法走出泥潭并重新成为战略领导层的 CISO 来说，成功之路是部署常规化的运营风险流程。她还建议限制关键团队成员花在日常任务上的时间，这些任务可以由不太重要的人轻松处理。

二、过度进行安全和风险评估

Google Cloud 首席信息安全官办公室高级总监兼全球负责人 Nick Godfrey 警告说，许多 CISO 构建了过度导向控制的安全和风险计划，这可能导致几乎不间断地进行风险评估，总是试图寻找新的问题来缓解。

“虽然进行风险评估最初有助于降低风险，但从长远来看，它会变得毫无成效，从而启动一个无情的循环，导致不成比例的成本和错失机会，而这些机会本可以更好地投资于其他地方，”他说。

Godfrey 指出，CISO 希望解决其组织可能面临的所有可能风险是正常的，他们经常承受来自董事会的压力，这迫使安全领导者过于谨慎。“这导致构建'硬编码'的风险计划，其中唯一的方法是优先考虑持续的风险评估和缓解，”他说。

这种被动的心态可能会掩盖对更具战略性的方法的需求，该方法要考虑风险可能对人员、产品和财务产生的影响。还有一些心理方面也可能使个人或团队在风险评估方面表现不佳。

Godfrey 说，正确的风险管理方法是整体的，在没有持续的缓解工作的情况下保持适当的风险水平，以便可以根据需要更多关注的领域重新分配资源。

“拥有最佳安全态势的组织不仅会保持低风险，还会花费更多时间来提高效率和能力，从而降低风险，”他说。

Godfrey 建议优化风险控制的安排以减少所需的控制数量，自动化活动以减少维护和行政工作，并通过强大的欺诈预防方法改善客户体验。

三、未能建立真正的安全文化

文化是信仰、价值观和行为的融合，因此网络安全文化主要由组织内的人员驱动。建立这种文化的最佳方式是在实践中展示它，而不仅仅是在雄心勃勃的使命宣言或花哨的演示中，网络安全和托管服务公司 NCC Group 的风险管理和治理技术总监 Sourya Biswas 说。

“遵守正确的安全信念、分享正确的安全价值观并激励正确的安全行为的企业可以建立正确的企业范围的网络安全文化，”他说。“如果没有正确的文化，最好的安全策略就会失败。”

Biswas 说，由于网络安全文化主要由人驱动，因此应该由组织层次结构中最高级的人来展示。“换句话说，这不应该是安全组织的责任，而应该是整个最高管理层和董事会的责任。”他认为，“高层的基调”对于培养有意义的网络安全文化至关重要。如果员工看到领导层不遵循他们所宣扬的，他们很可能会这样做。

“归根结底，组织中的每个人都有责任培养网络安全文化，”他说。

四、相信他们的安全比实际更坚如磐石

网络安全技术提供商 Radware 的首席信息安全官 Howard Taylor 表示，首席信息安全官犯的最大错误是认为他们已经获得了完全控制权，即依靠他们的安全计划并信任一系列行业认证来保护他们的业务免受网络威胁。

他观察到，网络安全很复杂，而且在不断发展。总会有新的攻击者、新的方法或以新方式重新启动旧攻击。“保持警惕并做好准备是真正管理风险的唯一方法。”

网络安全需求会随着时间的推移而变化。“如果您不定期改进和验证您的控制环境，您会发现您的业务没有受到保护，”Taylor 警告说。

威胁形势不断变化，安全解决方案在首次实施时可能被认为很强大，但随着时间的推移，这些解决方案会变得越来越弱。“将视线从球上移开，即使是很短的时间，也可能代价高昂。”

Taylor 说，更糟糕的是，CISO 经常基于一种虚假的安全感来做出决策。

他们花费了大量金钱和时间来改进网络安全防御和培训他们的团队，以至于他们认为没有完全保护是不可能的。

“实际上，'我们安全吗'这个问题的唯一真正答案应该是每次都一样——响亮的'不'，”他说。

五、有自满心态

技术研究和咨询公司 ISG 的数字技术研究总监 Jeff Orr 表示，CISO 通常专注于确保遵守法规和标准，而不是评估和管理其组织的实际风险。

“这可能源于一种信念，即合规性等同于安全性，”他说，并补充说这可能会导致一种复选框心态，即组织专注于监管要求，而忽视了评估和减轻现实世界的威胁。“因此，漏洞可能会持续存在，导致数据泄露和数据丢失，而这些本可以通过使用更具战略性、基于风险的方法来防止。”

Orr 说，随着时间的推移，CISO 可能会变得自满，依赖既定的安全协议，而不重新评估其有效性或适应新的风险。“被动的'打地鼠'方法是不可持续的，可能会导致过时的安全策略和控制措施，无法解决当前的威胁。”

六、未能建立有效的指标和治理模型

安全策略公司 Tfin 的现场首席技术官 Erez Tamor 建议 CISO 平衡其安全工具与强大、持续的衡量和治理模型。“CISO 可以通过优先开发和定期审查这些框架来显著加强其组织的安全态势，”他表示。

有效的指标和治理模型将有助于确保安全策略始终符合法规要求、行业最佳实践和组织的特定需求。“拥有清晰和持续的可见性使团队能够在基础设施中的错误配置导致违规之前识别它们，”Tadmor 说。“如果没有强大的指标和治理，衡量安全计划的成功并维护最新、有效的策略将变得具有挑战性。”

七、未能制定强大的运营弹性计划

安全技术提供商 Sempiest 的首席信息安全官 Jim Doggett 表示，运营弹性计划着眼于全局，涵盖企业的整个生态系统，并展示如何在破坏性事件期间保持业务运营。“通过优先考虑运营弹性，CISO 可以在防范关键安全风险的需求与业务连续性管理之间取得平衡。”

Doggett 说，通过仔细规划，组织可以减少中断，更快地恢复，并减少泄露时对其底线的影响。“如果没有制定运营弹性计划，您的整个生态系统（包括供应商、合作伙伴和供应商）都将面临风险。”

不利的一面是，当企业内部断开连接时，运营弹性工作往往会失败。“作为组织的领导者，CISO 负责推动安全计划，但运营弹性需要整个组织的参与，”Doggett 说。“你不能简单地把它留给一个部门或团队——每个人都需要参与。”

来源：CyberRisk赛伯瑞斯克