伴随着信息安全复杂性和重要性,风险管理对于许多CISO来说就像一扇陷阱门。尽管CISO们尽力而为、心怀好意,许多安全领导者仍然会陷入削弱其努力的常见错误。
不论企业的规模、使命或范围如何,风险管理在整体安全态势中扮演着基石的角色。即使是看似简单的错误,也可能导致严重后果,最终CISO将面临指责。
以下是CISO们在风险管理中常犯的错误及避免方法。
CISO们最常犯的风险管理错误之一就是未能制定明确的项目目标,Deloitte网络业务咨询公司的首席顾问Kristi Preuss因此指出。Preuss观察到,许多CISO面临着诸多持续的问题和琐事,因此他们未能长时间脱离灭火模式,进而无法制定或有效执行更广泛的信息安全战略。“许多CISO从第一天起就陷入细节中,试图同时处理所有事务,往往仅凭过时的工具和有限的资源,”她说。
当CISO沉浸在反应性和操作性方法中,企业战略受到影响,安全控制也难以跟上当前的威胁形势。“随着目标的不明确、有限的战略投资和缺乏创新的战略规划,CISO将使组织面临更大的信息安全和网络风险,”Preuss说道。
Preuss建议,CISO们要想摆脱困境并重回战略领导,应该实施例行的操作风险流程。她还建议减少关键团队成员在日常任务上的花费时间,以便让那些不太关键的人去处理简单的工作。
旋风加速下载ios许多CISO建立过于控制导向的安全和风险程序,可能导致几乎持续地进行风险评估,试图发现新的问题以进行缓解,Google Cloud首席信息安全官办公室的全球负责人Nick Godfrey对此警告称。“尽管初次进行风险评估可能对缓解风险有用,但从长远来看,这会变得无效,形成一个无休止的周期,导致不成比例的成本增加,以及错失可能将资源更好地投资于其他地方的机会,”他说。
Godfrey指出,CISO们通常希望解决组织可能面临的每一个风险,往往还面临来自董事会的压力,迫使安全领导者过于谨慎。“这导致建立‘硬编码’的风险程序,唯一的办法就是优先考虑持续的风险评估和缓解,”他表示。
这种反应性思维方式可能遮掩了对更战略性方法的需求,这种方法考虑风险的可能影响,包括人与产品、财务方面的影响。他补充道,精神心理因素也可能使个人或团队在风险评估中表现不佳。
正确的风险管理方法应为整体性,保持适当的风险水平,而不需进行持续的缓解工作,以便根据需要更多关注的领域重新分配资源,Godfrey 提到。“拥有最佳安全态势的组织,不仅维持低风险,还花额外时间改善效率和能力,以减少风险,”他说。
Godfrey建议,通过优化风险控制的安排来减少所需的控制数量,自动化活动以减少维护和管理负担,并通过强有力的防欺诈措施改善客户体验。
文化是信念、价值观和行为的结合,因此,网络安全文化主要受
