成功的网络风险管理策略的关键要素

讨论网络风险管理策略和实践的演变，揭示常见错误并强调成功解决风险的关键要素。

在 SEC 网络安全披露规则等法规的推动下，组织实施有效的网络风险管理计划的压力将越来越大。

过去几年来，网络风险解决方法发生了怎样的演变？

25 年来，网络安全专业人员系统地依赖电子表格、电子邮件和广泛的手动风险评估，根据网络风险的影响和被利用的可能性来解决网络风险。在过去的几年里，由于云、物联网和在家工作的采用，企业工作场所和 IT 足迹变得更加分散和动态。

安全团队正在日益紧迫地实现其能力现代化。整合的扫描结果、基于风险的自动化优先级模型、执行责任以及支持分布式 IT 所有者自助解决问题的通信工作流程是这种新方法的基本要素。目标是实现并维持可衡量且可管理的安全态势。

在过去的十年中，我们看到了部分解决方案的出现，这些解决方案侧重于利用CVE对漏洞进行优先级排序。然而，IT 复杂性的增长以及不同暴露类别（例如配置错误、代码应用风险和身份风险）的爆炸式增长，凸显了它们的局限性。较新的方法将所有风险和解决流程集中到一个整体解决方案中。

公司在网络风险解决策略中常犯哪些常见错误？

最常见的错误是网络风险解决流程缺乏标准化，导致各个安全团队重复补救工作。如果每个团队都需要制定自己的风险解决流程，那么就很难一致且准确地确定安全发现的优先级并跟踪安全结果。集中化风险解决流程可以提高组织透明度，并可以为安全团队节省高达 50% 的时间。

另一个常见错误是没有实施有效的流程将威胁背景和环境背景纳入网络风险优先级。依赖任何一种类型的模型（例如 EPSS）是不够的。我们希望找到风险最终导致违规的“黄金”指标，但在那一天之前，安全团队需要全面整合多层风险因素来确定业务风险并推动合理的沟通。

有效的网络风险管理策略的关键组成部分是什么？

有效的网络风险管理涉及发现风险并主动采取措施应对这些风险。它就像需要定期锻炼的肌肉，以不断重新评估、解决和报告最高风险。始终建议扫描更多类型的 IT 风险，但实施连续分布式流程来解决这些检测到的风险也同样重要。风险解决的关键支柱是优先级、所有权和沟通工作流程，以及所有相关指标的准确跟踪和综合报告。

对于在分布式环境中工作的安全团队来说，解决风险一直是最具挑战性的旅程——这就是所谓的“安全的最后一英里”。较新的方法包括统一风险模型以及将高级解决工作流程嵌入到协作系统中，以便与 IT 利益相关者进行更有效的沟通。Gartner 和 Forrester 的行业分析师制定了涵盖此风险解决生命周期各个阶段的框架。

组织文化如何影响网络风险管理的有效性？

网络风险管理是一项团队运动——每个人都需要意识到并积极参与自己的潜在风险，以便组织能够制定成功的计划。促进责任感和风险偏好清晰度的组织文化更有可能让每个人都参与进来。这种文化更容易接受促进降低网络风险的指标和流程。

能否提供成功的网络风险解决案例以及它们成功的原因？

最成功的风险解决计划包括执行层和底层在安全态势和风险偏好方面的协调。高管的支持、网络风险的明确性以及可扩展的流程可以将解决率提高 50 倍以上，并每周解决数万个风险。准确的 IT 所有权映射通常是组织需要克服的最大障碍，并且有一些自动化方法可以实现这一目标。

如何预测未来 5-10 年网络风险管理的发展？

美国证券交易委员会的网络安全披露规则等法规正在增加组织采取更有效的网络风险管理计划的压力和紧迫性，否则将面临重大影响。我们预计网络风险解决方案将获得更多关注，并统一风险解决平台来解决这一问题。