首席信息安全官必须将网络威胁转化为业务风险

根据 Check Point 亚太区首席信息安全官 Jayant Dave 的说法，缩小网络安全与企业风险管理计划之间的差距是风险专业人士的重要优先事项。

他指出，二十年前网络安全主要关注外围防御，如防火墙、入侵检测系统，以及在终端上依赖签名的杀毒软件。当时的网络安全策略被视为技术风险管理的一部分。

Dave 说：“在 2025 年，网络安全已更多地涉及到业务风险，而不再只是技术风险。将您的网络安全风险承受声明与业务风险对齐，对于许多首席信息安全官来说是当前面临的挑战。如何将网络安全风险与财务风险、声誉风险、运营风险和战略风险等联系起来呢？”

他说，为此，网络安全领导者必须了解他们所防护的业务。“作为首席信息安全官，你需要开始讲业务语言。这正是澳大利亚董事会层级讨论的方向。”

与此同时，如澳大利亚审慎监管局 (APRA) 的审慎标准 CPS 234 等法规要求董事会级别的监督和治理。这意味着技术领导者需要了解业务，而业务领导者也需要了解技术方面的内容。

Dave 提出，美国国家标准与技术研究院 (NIST) 的网络安全框架 (CSF) 2.0 和 Cyber Risk Institute 的 CRI Profile 2.1 等框架，有助于网络安全领导者将其风险承受度与更广泛的业务环境对齐。

他说：“这也有助于你与监管机构建立关系，因为与 APRA 类似，香港金融管理局 (HKMA) 也已开始将 CRI 作为其评估框架之一。所以，如果你符合 CRI Profile 的要求，你也就是在与监管框架保持一致。”

这一过程的一部分是确保外部供应商的风险承受声明经过董事会审查和批准，并且符合监管要求。安全投资——如实施零信任架构或采用安全访问服务边缘 (SASE)——将由董事会决定，因为机构的整体风险承受水平已超出允许范围。

Dave 指出，在监管较少的行业，董事会可能缺乏相应的意识，导致投资“从网络角度来看可能没有被优先考虑”。

Dave 警告说，一个重要的考虑因素是，安全控制措施不应影响最终用户体验，否则用户会寻求绕过这些措施。“作为网络安全领导者，有时你必须以创新方式在确保安全的前提下执行某些操作，同时不影响用户体验，”他说。“这正是对齐的关键所在。”

另一个挑战出现在企业组织为多个业务单元时，例如一家银行涵盖市场服务、证券和财富管理。Dave 建议，应在每个单元中嵌入一位首席风险官 (CRO)，作为风险事务的可信顾问，从一开始就帮助对齐技术与业务风险。

建立融合中心也可以弥合业务与信息安全之间的差距。融合中心将“那些了解网络细节的优秀防御者”与了解业务欺诈、运营风险以及法律和合规问题的同行聚集在一起。

技术团队从技术角度量化风险，而业务团队则从业务角度审视问题，因此“通用风险分类得以统一”。融合中心的会议可以是每天、每周或每月举行，其活动应包括网络安全演习。

然而，这些演习应当旨在考察业务风险。例如，一次分布式拒绝服务 (DDoS) 攻击的技术流量不如其业务影响重要：它是否影响了关键基础设施？潜在的业务损失是多少？有多少客户受到了影响？这些信息使技术团队能够明白最需要防御的地方，并帮助业务团队了解可能攻击的性质和后果。

Dave 说：“这不会是一锤定音的演习，而是一场持续不断的旅程，确保每个人都了解他们在危机中的角色。”

虽然预防优先，但网络韧性在于危机发生时能迅速响应和恢复。像 Check Point 的 ThreatCloud 等网络情报中心帮助组织预见可能的攻击，从而采取适当措施。

但技术措施并非总能充分应对风险。Dave 举例说明，近期发生的事件中，尽管防御坚固，个人身份信息仍通过操纵员工的社会工程学攻击而被窃取。发生这种情况时，关键在于拥有全面的事件响应计划、迅速付诸实施，并从事件中吸取教训以降低再次发生的可能性。

Dave 表示，人工智能可以帮助防御者更快地响应，但仍需具备相应的技能。最终，首席信息安全官和业务利益相关者——而非人工智能——需要对监管机构和股东负责。

尽管澳大利亚的网络安全成熟度较高，但这种成熟度并不均衡分布。政府和受监管行业十分清楚这些问题，但即使是中小企业，也可能没有足够的预算来解决这些问题。

例如，Dave 了解到一些医疗企业仍在使用 Windows XP。“从宏观层面来看，确实，人们有所意识，”他说。“但仔细观察具体行业，肯定有提升之处。”

攻击者不太可能以防御严密的银行为目标，而会将注意力转向存在薄弱环节的行业。“你会发现许多网络卫生状况不佳的机会，”他说。

Dave 警告不要在薄弱基础上构建人工智能系统，例如未打补丁的计算环境。他说，脆弱的底层技术堆栈为不法分子提供了巨大的机会。

他建议各组织通过基本的“安全基线实践”来实施关键控制，而无需在新技术上花费大量资金。诸如安全编程和安全构建运行环境等基础工作，任何组织，即使是预算紧张的，也应能实现。

最后，对于无法自建安全运营中心的组织，他建议：“寻找一个战略合作伙伴来为你完成这项工作。”