无论企业规模大小，网络风险的增加都意味着CISO不仅要考虑传统的技术防御，还必须发展出一套综合性的、前瞻性的风险管理体系。这个体系不但要能够抵御现有威胁，还要具备足够的灵活性，以应对未来的未知攻击。

有效的风险管理不仅是确保企业免受潜在网络攻击的前提，更是维持业务连续性、保护公司声誉和法律合规的重要保障。然而，尽管许多CISO具备丰富经验和良好意图，许多人在风险管理实践中仍会反复踩坑，以下是CISO最常犯的七个风险管理认知错误：

1

陷入“救火模式”

许多CISO常常陷入日常琐事和紧急问题的处理，忽视了制定明确的风险管理目标。德勤网络安全专家Kristi Preuss指出，CISO应避免陷入“灭火模式”，而应通过建立明确的安全计划来保持企业战略的清晰性和前瞻性。CISO应摆脱“被动式”管理，定期评估和更新安全计划，确保信息安全投资到位，降低企业的整体网络风险。

2

过度依赖风险评估

有些CISO陷入了过度控制和频繁风险评估的困境。谷歌云CISO办公室的全球负责人Nick Godfrey提醒说，虽然初期的风险评估有助于发现漏洞，但长期频繁的评估反而会导致资源浪费，忽视了其他更有价值的投资机会。CISO应平衡资源分配，在保障低风险的同时，将更多精力投入提高效率和能力建设，优化风险控制措施。

3

忽视企业安全文化建设

建立良好的企业安全文化至关重要，但CISO往往认为这是安保部门的责任。NCC集团的风险管理主管Sourya Biswas强调，安全文化应该从企业高层传递，CISO必须确保企业各级人员都理解并实践安全文化，而不仅仅停留在口头上。高层领导的行为和态度对安全文化的形成至关重要，员工只有看到领导真正遵循安全原则时，才会跟随效仿。

4

过度自信导致防护失效

CISO最大的失误之一就是过度相信既有的安全策略和认证。Radware的CISO Howard Taylor提醒，网络威胁不断变化，CISO应时刻保持警惕，不断改进和验证安全防护措施。过于依赖过去的安全方案，尤其是长时间未更新的策略，可能导致企业在面对新型攻击时毫无防备。

5

追求合规而非真正的安全

许多CISO将合规与安全划等号，陷入了“打勾心态”。ISG研究公司数字技术主管Jeff Orr指出，CISO往往只关注合规性，忽视了实际的安全威胁。CISO应采取基于风险的安全管理方法，定期重新评估现有安全策略的有效性，确保应对不断变化的威胁，而非仅仅满足监管要求。

6

缺乏有效的度量与治理模型

Tufin公司首席技术官Erez Tadmor建议，CISO不仅要依赖安全工具，还要构建并定期审查有效的度量和治理模型。这些模型有助于确保安全政策与监管要求、行业最佳实践和企业自身需求保持一致。没有明确的度量指标和治理框架，CISO很难衡量安全计划的成效，也无法及时发现潜在的配置错误。

7

忽视运营弹性计划

最后，CISO需要建立强大的运营弹性计划，以应对网络攻击带来的业务中断风险。Semperis公司的CISO Jim Doggett指出，运营弹性计划应涵盖企业整个生态系统，包括供应商、合作伙伴和其他相关方。CISO应确保全企业参与运营弹性计划的制定和执行，而不是仅由安全团队独自承担。

参考链接：

https://www.csoonline.com/article/569259/5-risk-management-mistakes-cisos-still-make.html