把网络安全作为业务决策的紧迫性

写在前面：如何评估网络安全的有效性，一直是网络安全投资方面的困扰。按照所保护资产的价值或者收入的规模，或者满足合规的要求，都是实际工作中采用的方法。本文的建议是根据业务来确定合适的安全防护水平。

在风险评估的历史上，定量、定性的方法都在使用，虽然说量化不是万能药，而网络安全作为一种技术手段，量化也是难以忽视的一步，否则更没有根据。但不能为了量化而量化，还是要围绕着业务。但到底如何围绕业务，文中给出的CARE标准也是一个方向性、概念性的东西，无法直接落地。

在本篇文章之后，又看到了其他的有关资料，一并奉上。

附录1加上了刚看到的一个评估网络安全投资回报率的方法，还是一个量化的思路。

附录2 董事会想看到的网络安全指标，详细地列出和董事会沟通的方法，很有实践意义。

把网络安全作为商业决策的紧迫性

2020年2月12号发布，2021年8月2日更新  Gartner  ID G00466055

    网络安全面临着预算增长放缓，风险管理人员受挫，监管重心转移等问题，随着业务模型和支持他们的技术之间的界限变得模糊，CIO需要考虑能够影响他们工作成效的网络安全方面的风险、优先级和投资。

概述

关键挑战

• 直到2023年，网络安全支出增长变缓，董事会正在开始质疑，网络安全多年大量投资之后，到底得到了什么？
• 董事会和高层管理人员对网络安全的错误提问，导致糟糕的投资决策。
• 许多现有增强网络安全的方法，无法提供适当的、实现防御性目的的保护。

推荐

    关注IT成本优化、财务、风险和价值的CIO们，为了提高风险优先级和公司业绩，应该：

• 利用这个研究，打造一个商业案例和管理层叙事，改变组织中对待网络安全的方式。
• 把网络安全看作一个选择和商业决策，提高网络安全的准备程度。
• 使用成果驱动的方法，推动网络安全优先级和投资，平衡投资和风险，实现期望的业务成果。

介绍

    Gartner 预测表明，在网络安全方面的支出在放缓，2018年，网络安全复合增长率为12%，到2023年，降到只有7%。Gartner的客户也报告说，给董事会提交了多年的网络安全季度报告后，董事会现在开始犹豫，要求改进数据，了解多年的大力投资之后，都完成了哪些目标。

    2017年Equifax被攻击之后，被迫辞职的CEO明确表示黑客攻击是导致这个结果的根本原因。2018年12月美国众议院最终报告指出“Equifax的CEO没有重视网络安全”。

    2019年7月，英国信息专员澄清，GDPR规定的罚款严厉程度，基于是否存在合适的、合理的，持续有效的控制。这建立了不一样类型的标准，追求适当水平的网络安全防护。当前对安全优先级、投资和治理的方法的局限性和这个新标准没有保持一致，也无法合适地解决。解决这个标准的更好的方法是把安全作为业务问题，并和业务需求保持一致。组织需要了解他们当前方法的局限性，并做出改变。

    本研究中提供的信息，应该被用来打造业务案例和管理叙事，改变在组织中对待网络安全的方法。它描述了许多当前行为和方法的局限性。也为追求新的网络安全衡量、报告、优先级和投资方法建立了基础。

分析

应对网络安全失败的方法

    网络安全作为董事会的议题已经十年了，网络安全事故头条消息仍层出不穷，尽管网络安全预算增速放缓，在很多备受关注的公司中，这仍是投资热点。网络安全在企业全球部署时，董事会对网络安全的有效性提出了挑战。

    表1 目前对网络安全有效性的挑战

摘自 Gartner   2020年2月

社会上的看法正在导致糟糕的参与和失败的投资

    当前社会上对网络安全的看法可以大致总结为恐惧、不确定和怀疑，脱离需要解决的现实问题。每一次头条上出现网络安全事件，都有评论员在电视上反复发问：“为什么不能解决这个问题呢？”社会上把网络安全看作技术黑盒，安全人员被视为巫师。管理层给他们金钱，巫师们施咒，如果某些事出现问题……某些人犯错，我猜我们需要一些新的巫师。

    社会上的看法导致一个双重标准，特征是“每个人都知道银行可能被抢劫，但数字银行最好是完美的。”如果罪犯对现场的银行的员工说“把钱装满这个背包”，我们会觉得很遗憾。但当数字银行遭受损失，大家都想知道，谁犯了错。

    社会上的压力成为董事会的指引，让他们在网络安全方面变得更聪明。于是在过去的10年，董事会一直在学习黑客和安全控制措施如何工作，他们忍受着关于威胁没完没了的论文。但这没有帮助他们回答这个关键、合理的问题，即他们需要多少安全。

    社会上的压力也驱使政府颁布法规。虽然法规强制组织在他们无所作为的方面采取行动，也在复选框打钩的情况下生成了错误的决策，管理层相信合规将拯救他们。他们中的许多人知道或感觉，满足合规不等同于防护。但监管机构让他们无法选择。最坏的情况，合规强迫我们在不需要的地方花费金钱，让我们无法在需要的地方投资 。

关于网络安全，组织正在询问错误的问题

    在过去的15到20年内，和网络安全治理相关的最常见问题，管理层建立了一个熟悉的需求模式。

    表2 常见网络安全提问和他们的局限性

摘自 Gartner 2020年2月

    这些问题和他们的答案，导致网络安全中优先级和投资方面的糟糕决策。最好的情况，能在安全预算上得到批准。最坏的情况，会导致一种“一切都很好”的错误安全感觉。但一切都不会好起来的。

改善网络安全的投资和方法将陷入不足

    大多数管理层都清楚知道网络安全不足，这也是CIO和CISO解决这个问题的持续工作，导致很多行为和投资也陷入不足。下列行为和方法常见于Gartner的客户中

“开出支票簿”方法落后了

    单靠金钱无法解决问题，将来网络安全成功的重要保证是管理层的参与。你不是只需要钱，你需要聪明的钱，花在和业务有关的领域。当高管说，他们将批准CIO 和CISO 解决网络安全问题的任何预算时，他们正在放弃在过程中监管和参与的角色。

    许多CIO和CISO会说“钱”不是问题。为了解决网络安全问题，他们的董事会保证同意任何规模的投资。这个宣告通常认为是强有力的支持，和1990年代及2000年代前十年形成强烈的对比，那时，大多数安全项目都在努力获得资金支持。不幸的是，这个开出的支票簿更难于和管理层进行建设性的对话以增强网络安全。

    CISO通常会强调，网络安全是企业高管们的风险，但开出的支票簿把风险和责任很明确地放到了CISO的肩膀上。如果一个组织被黑，董事会和管理层会说：“我们说过给你需要的任何东西，为什么你不问呢？”

    获得预算非常重要，但如果这种获得以牺牲高层参与为代价，会损坏组织在网络安全方面的成果。

无法执行的风险偏好

    自从2017年，组织一直追求的常见方法是开发风险偏好。概念上，这有很大的前景，实际上，在大多数组织，严重低于承诺。

    风险偏好是组织接受风险意愿的表现。这是一个现代的概念，是从检查清单到基于风险方法的演变。承认风险是无法避免的，风险是一个工具，能够定量使用，支持业务成功。清晰的风险偏好应该给组织一个机会，表达他希望多少风险，围绕着业务来指导网络安全投资。

    事实上，许多风险偏好的努力，已经变成管理层表达自己态度的平台，“我们不喜欢冒险。”或者“我们对网络安全风险零容忍。”但这些表达都太极端。

    风险偏好努力的真正失败之处在于，他们需要包含一个可测量的风险规模，和能实现有效风险决策的底层治理过程。大多数组织都没有这个组成部分。

    缺少这些基本的组成，注定风险偏好声明变成解决基于风险需要的另一个让人兴奋方法，将无法实现承诺。当这些概念位于过高期望的顶峰，只有失败， 他们失去了在市场中做好的力量，被抛弃。当多年之后重新复兴，因为他们事实上是非常好的概念，人们抛弃他们并说“我们试过了，它基本上没什么用。”

量化不是万能药

    自从2017年，Gartner的客户对量化的兴趣与日俱增。被完全可理解的需求推动，根据金钱（是一个5百万美元的风险还是5千万美元风险）和可能性（被黑客攻击的百分比是多少）来展示风险和安全。现在董事会要求这样做，越来越多的客户开始有这个想法，认为这也许就是他们一直找寻的答案。

    2020年，由于过高预期，量化已经达到冲昏头脑的地步，好几个观察都表明，它不会真正影响大多数组织。我们推荐每个组织考虑如下问题，评估对量化的兴趣，决定是否适合组织。

    首先，量化是一个非常艰巨的任务。需要大量的时间、金钱和全职工作人员，取得可信和可靠的结果。为了维持价值，你要尽可能持续这种巨大的投资。较小组织会难以拥有足够资源实现这个目的。

    虽然我们已经从组织收到了上百个请求，对学习更多的量化有兴趣，但只有一小部分报告了可信和可靠的成功。成功的例子都是有着足够数据和资源的特大型企业。

    其次，小心滥用。我们有好几个例子，组织已经开始量化实践，产生了他们所需要的表格、严谨的证据和量化的结果。问题是他们的计算中包含假设和基本上决定结果的“专家意见”。如果你使用量化只得到你想要的，你正在对你自己和管理层撒谎，你没有在支持改善网络安全。

    最后，一个组织应该评估改进决策的价值。作为评估的一部分，使用头脑练习探索如何使用结果。Gartner的经验，量化在支持组织需要多少网络安全方面，已经表现了价值。但没有每个组织所需要的、支持和网络安全有关的优先级及投资方面的决策。

    总而言之，量化对某些组织支持某个关键投资决策有意义，值得投资。量化绝对不是许多人相信的灵丹妙药。

内部审计和监管合规，仍然是主动推动力量

    许多董事会级别的高管，仍然相信内部审计和监管合规是他们解决网络安全的主要指引。有好几种表现，包括：

• 网络安全委员会的报告被埋没在审计委员会中
• 对内部审计的关注高于制定有效计划
• 把网络安全报告称之为“审计和合规”或“风险和合规”的组织数量
• 复选框打钩式的思维，盛行于很多组织中
• 我该用哪个框架
• 我们的项目基于ISO或NIST
• 我们在寻求项目认证

    这种心态的局限性众所周知，合规不等同于防护。内部审计师不应该规定多大的风险是可接受的，或哪个控制最重要。复选框的方式在你不需要的领域浪费甚多，争夺需要关注领域的资源。

网络安全和业务决策之间的脱节导致真正的失败

    在2017年黑客攻击Equifax之后，Gartner 对Equifax的 CEO Rick Smith国会证词的分析表明，在组织中，管理层的理解和网络安全能力水平之间存在脱节。在Gartner客户中，这种现象非常普遍。2018年众议院小组委员会报告指出，“Equifax CEO 没有把网络安全放在优先级位置”（参见“更多CEO因网络安全事件被解雇的8个原因“）。

    这些脱节应该唤醒沉睡的CIO、CISO和管理层，需要在商业环境解决网络安全问题，并作为一个商业决策。在管理层叙事中，使用下列例子，描述除了黑客和数据泄露之外，网络安全对业务成果的风险。

• 网络安全投资增加心脏病事故。一项由美国国家科学基金赞助的研究强调，治疗也许比疾病更糟糕。“中断救护工作和护理及时性以及病人结果恶化有关。”纠正性的措施为了弥补受保护的健康信息在安全和隐私方面的缺陷。救护工作可能带来一些变化，导致延迟、复杂性或损坏健康、IT和病人护理流程。根据几百个医院调查，数据泄露之后，每年10000个心脏病发作死亡中，增加36例死亡。
• 对所承担风险考虑不足。银行管理人员在新的面向客户的在线银行应用程序中，选择忽略一个关于多因子认证的风险评估建议。管理层有权关闭，讽刺的是，这也许是保护客户体验的正确商业决策。失败之处是这个管理人员没有理解或对应用安全负有责任。
• 在网络-现实联动系统中施工失败。一个现场工程师从一个大型移动机器的现场安装中收集配置遥测信息。信息返回到制造商总部，导入仿真程序。由于错误配置，仿真程序开始重新配置几百英里以外的安装，面临几百万美元的损失和工人生命安全的风险，所有现场技术人员使用同一个ID，在产品管理过程中没有考虑安全。
• 网络安全成为生存威胁。设备制造商全球销售产品，在面向互联网产品开发过程中忽视了网络安全。基础软件是开源的，漏洞百出，使用完全不必要和全功能操作系统。暗网能发现所有连接到互联网的设备，公司变成所有可想象的网络犯罪的节点，从洗钱到分布式拒绝服务攻击机器人控制。管理层被告知，但没有放在心上，因为没有客户埋怨过。这是一个等待被起诉的企业。
• 管理层缺少对第三方风险的理解。一个得到董事会完全支持的金融服务组织，决定执行一个业务战略，把许多业务职能外包。安全团队建立了一个严格的评估流程，提醒决策者们关注网络风险，推荐/不推荐某些合作伙伴。业务决策者批准一个特别的合作伙伴，尽管由于安全缺陷，安全部门建议不和那家公司合作。签约六个月后，由于建议中提到过的一个安全缺陷，公司遭到入侵。董事会认为失败是安全官的责任。接下来董事会提高对第三方风险的了解，强调业务部门决策对实际网络态势的影响。

    这些例子说明，业务决策和业务影响的实际情况脱钩，能导致严重业务伤害。这些情况非常重要，但管理层被合规、黑客和他们要支出多少等事情分心。

    被中断的治理是影响网络安全准备的业务决策，但决策时没有考虑影响。我们有管理层签字“接受风险”的表格，但一文不值，责任很小或没有责任。在Gartner的经验中，几乎没有证据表明，风险根据业务的环境来得到合适的描述。因此，管理层没有真正了解他们签署协议的风险。

    非IT管理层通常不会询问或坚持要求支持他们的技术具备某种水平的安全性。对他们而言，安全仅仅和技术相关，因为“什么样的白痴才会建设一个不安全的系统？”如果IT和安全人员超出他们期望的安全水平，他们将会发现，实施这种级别的安全将会增加他们的成本，延长他们的交付时间表，对功能和客户体验产生负面影响。因此这些对话通常也不会发生。

    管理层决策和有效网络安全之间的脱节应该让管理层夜不能寐。应该把他们的注意力放在解决问题的新方法上。第一个关键步骤就是围绕业务发展建设网络安全。

围绕业务发展，创建网络安全

    为了围绕业务环境创建网络安全，你首先要了解组织的业务情况。每个组织-公共、私营、营利的、非盈利的、慈善、政府，国防和非政府（NGO）组织，都有自己的业务、都有业务预算和成本、期望的业务产出和支持业务的流程、收入源和客户。他们都要依赖技术。

    这些依赖产生了投资的需求，保护支持其业务产出的技术。了解一个组织最重要的产出、最重要的流程、最重要的技术成果是围绕业务生成网络安全的第一步（参见：“Gartner 业务风险模型：集成风险和绩效的框架“）。

当前网络安全标准、框架和成熟度模型的局限性

    网络安全标准和框架是保护环境而发布的推荐。大约有几十种，包括最常见的NIST 网络安全框架和ISO 2700X。

    这些标准的主要目标是减少网络安全风险。他们常常包括工具、策略、安全概念、安全措施、指南、风险管理方法、操作、培训、最佳实践保证和技术的集合。

    过程成熟度模型使用标准和框架中的指南，提取最佳实践和技术来决定能力水平。他们共同指导优先级和投资，完成期望的网络安全能力水平。他们最大的限制是成熟度模型衡量功能本身有多好，而不是他们能做什么。

    随着组织达到更高的成熟度，他们的成熟度模型、框架和标准开始失去价值。成熟度水平2.5左右，它们将成为帮助组织决定未来的优先级和投资的糟糕指南。2.5以上，潜在投资的复杂性必须和组织的情况更加紧密地结合。

    监管机构表示，网络安全能力必须包含超过常见的成熟度模型和标准所要求和审计的功能。

    过去20年内，成熟度模型已经帮助组织优化几十元美元的支出，取得了令人满意的结果。Gartner针对所有行业的成熟度数据表明，所有行业的成熟度在2.6和3.6之间。组织需要更有力量的一些东西，交付所需级别的保护。

结果驱动的网络安全指标

    组织很难决定网络安全保护和投资的合适量级。他们需要转向衡量保护水平来指导投资。

    2020年，典型的安全审计强调控制的存在。对NIST网络安全框架审计标准的评估表明，73%的审计问题和控制是否存在相关，而不是他们的表现或防护水平。

    技术风险的结果驱动指标是工具、人和流程的一个抽象，反映了组织防护得多好，而不是如何防护。结果驱动指标能够用来实现对网络安全优先级和投资更有效的治理。结果驱动指标生成和管理层及董事会进行有意义、关于业务对话的必要用语（参看：“数字时代网络安全的结果驱动指标“）。

网络安全准备和投资的CARE标准

    英国信息专员Elizabeth Denham，2019年7月澄清，重大数据泄露事故后，GDPR罚款的严重程度和组织被攻击或被影响的人数无关；组织将会被黑似乎不可避免。社会也许遭受双重标准，它希望数字银行非常完美，但监管者不是这样想。

    专员声称，罚款的严重程度和是否存在足够、合理、一致和有效的控制相关。Gartner相信这是来自监管机构最好的信号，决定你需要多少安全。澄清提供定义新的标准的机会，基于合适水平安全防护的新方法。

    图1 网络安全CARE标准

    最后，这些价值判定必须可信和可靠。在这四个特性中，无数的机会组合去做对组织最有利的事情。在保护措施和运行业务之间建立平衡。也包括建立更好安全能力的动机，带来更好的结果，而不是仅仅花费更多金钱。

网络安全准备是一种选择

    安全程序的目标不是保护组织，因为那难以实现。安全程序的目标是在保护企业和运行业务之间取得平衡。

    如果我们无法彻底保护组织，我们该做什么？网络安全准备是一个选择。生成合适、合理、一致、有效的控制，和您的利益相关者、监管机构、客户一起，在安全上花费正确的资源。这也是英国信息专员所描述设置罚款的标准。

    风险、价值和成本优化，指导着安全和业务之间优先级和投资的适当平衡（参见：“网络安全和技术风险中风险、价值和成本优化“）。风险优化证明组织有正确的优先级和正确的投资，在解决风险和完成期望业务结果之间达成平衡。

    把网络安全作为业务决策来对待的急迫性从未如此之大，组织现在有了这样的理解和工具。

 （完）

附录1 如何报告网络安全程序的投资回报率

    高级检测和响应产品Optiv副总裁，John Ayers认为:衡量任何安全项目的投资回报率，首先要尽早明确说明公司希望通过该项目实现的预期结果。这显然因程序和公司的不同而不同。一家规模为400亿美元的金融服务机构和一家规模为5亿美元的制造业机构对安全投资回报率的看法肯定不同。

    然而，具体到实际工作，这两个组织都在寻求减少和管理他们的风险。尽管预算和成熟度存在巨大差异，但基本目标是相同的。

    怎么做呢?

• 通过转换数据所在的位置，从本地到云。
• 通过资产(设备或数据源)管理。
• 通过新的框架，如零信任或托管扩展检测和响应(MXDR)。

    但这些都是成本，对吧?这如何提高安全价值?因为我们可以测量数据，并且可以报告数据和相关的指标。如果您对您的安全程序感到更舒服，那很好，但如果您不能测量它或看到结果，那么您怎么知道呢?您必须能够通过监视和数据检测来验证您的程序。

    这些指标的例子可以以多种形式出现。从反应性的角度来看，我们讨论的是 根据多个标准划分安全事件的总数量，如类型、平均检测时间(MTTD)、平均解决时间(MTTR)、长期的入侵尝试以及网络上未识别设备的数量。

    在此基础上，我们转向我所谓的“前瞻性指标”。这些指标是用来衡量培训和漏洞管理表现如何。例子包括钓鱼测试成功率、安全意识完成率、打补丁的平均天数、网络上打完补丁的设备的百分比，以及员工报告的安全事件的数量。

    太多时候，我们陷入了“闪亮之物”的困境，我们期望所有新的东西都能以我们想要的方式交付——对科技产品也是如此。单靠一款技术产品很难实现整体的投资回报率。

    如果安全主管关注可视化并报告他们的团队发现了什么，那么他们可以向公司领导层和董事会展示，他们的组织可以快速检测和响应人员、流程和技术方面的潜在威胁，并迅速恢复正常业务。

附录2 董事会希望看到的网络安全指标 

摘自 csoonline    Pete Lindstrom  2022年5月2日

    对指标和措施感兴趣的网络安全专家，常常努力思考并对提交给董事会的最佳方案非常自信。这是一个棘手的命题，因为“我们必须使用业务语言”也是一个咒语。从业务角度提出网络安全指标可能是一个挑战，那么我们如何解决这个问题，并提供有用的见解呢？

    首先，我们必须认识到，董事会代表公司最高的战略水平。如果你提供关于软件补丁状态和钓鱼测试结果的指标，你实际上承认你的网络安全程序建立在一堆杂乱无章和祈祷之上。

    网络专家常常诋毁“红-黄-蓝”类型的指标，但记住，董事会不需要技术细节或差距说明。如果他们能获得类似卖糖果和智能手机的零售店里“每平方英尺的销售额”指标，或者在治疗脱水和脑部外科手术的医院里，获得“病床利用率”的指标，他们就能在三到五级别上，具有“更大的视野”。“红-黄-蓝”也不是不能考虑，只要定义好级别，并有解释他们的细节。现在更大的挑战是董事会成员对过失承担越来越多的责任，他们确实应该、也真的想了解更多的情况。

来自公司董事会最重要的问题

     现在我们回到起点，尝试在战略层面，给面向业务的董事会成员提供面向技术的网络安全数据。在任何公司，对于董事会成员真正想了解的网络安全设定一个基线也许有帮助，以下是他们的五大问题：

1. 我们安全吗？这个问题让很多网络安全专家崩溃，因为从字面上来看，实现100%的保护，现在和未来的答案都是“不”。如果我们把问题改成“我们的暴露水平是多少？”我们就可以往下谈了。
2. 我们合规吗？根据审计结果，这个问题常常容易回答，但从“时间点”的视角来看，结果可以瞬间改变，可能无法提供真正的安慰。最好使用控制框架评估我们的网络安全程序。
3. 我们发生过重大事件吗？董事会成员非常清楚任何重大事件，所以常常根据成本和潜在的责任，详细回答这个问题。 
4. 我说有5个问题，但上面三个是最典型的，后面两个被认为是优秀董事会管理的标准要素。
5. 我们的安全程序有效性如何？质量第一。
6. 我们的安全程序效率如何？然后是数量。

董事会成员的安全指标

    当我们打造我们的程序，我们的目标应该是直接把最详细的技术数据翻译成业务水平上可以理解的战略框架。我们应该考虑到这样一个事实，董事会成员不蠢，他们能学习任何帮助他们做出战略决策的东西。和我们一样，技术正在接管他们的生活，随着整个世界都在向数字化转型，令人惊讶的是他们能在需要时轻松掌握SaaS指标。

    我们将使用下列指标：

• IT资产(用户数量、设备、服务器、应用程序等)
• 使用活动(会话、流、消息等)
• 过程控制(用户帐户的创建/修改/删除；漏洞检测/路径，事件检测/响应等)
• 实时控制(反恶意软件、防火墙、电子邮件安全等)
• 事件

     以下是优秀董事会一组核心指标，为企业网络安全程序提供战略洞察力。

• 网络风险：不适当的使用活动占所有使用活动的百分比
• 网络安全效能：实时网络安全控制提供的网络风险降低百分比
• 网络暴露：每个IT资产使用活动的平均数量
• 网络弹性：用于每个使用活动的实时控制的平均数量
• 风险厌恶比例：与允许或拒绝的恶意活动(漏报和误报)相比，接受生产力损害(例如，密码失败、误报)的意愿。

    此外，我们需要考虑成本和价值，毕竟财务信息是商业世界的通用语言。

• 损失与价值比：网络安全支出(包括事故损失)与IT资产提供的财务价值相比
• 每个IT资产(可能是应用程序)的控制成本：IT资产的网络安全控制手段成本
• 单位成本降低风险：相对于网络安全总体支出，风险降低的财务价值

     看看董事会会议记录和上市公司收入电话会议备忘录，甚至在你喜欢的投资网站上大量的财务比例，你会看到上述指标比补丁水平和发现恶意软件等七七八八的琐事更具有战略层面的意义。

    如果我们希望高层认真对待企业的网络安全，这就是实现目标的方法。

（完）