在采訪中，CBIZ的董事總經(jīng)理John Verry討論了保險公司和金融風(fēng)險專業(yè)人員如何通過不同的視角來評估網(wǎng)絡(luò)安全成熟度，他還展示了如何將網(wǎng)絡(luò)風(fēng)險以商業(yè)術(shù)語表述，以增強(qiáng)投資理由，并將網(wǎng)絡(luò)安全提升為戰(zhàn)略驅(qū)動力。

CISO們應(yīng)該了解保險公司和金融風(fēng)險專業(yè)人員是如何評估網(wǎng)絡(luò)安全成熟度的?

網(wǎng)絡(luò)安全成熟度的評估因利益相關(guān)者而異，有效的項目必須考慮到這些不同的視角。金融風(fēng)險專業(yè)人員從企業(yè)風(fēng)險管理(ERM)的角度來評估，考量網(wǎng)絡(luò)風(fēng)險如何被識別、緩解，以及如何與財務(wù)、運(yùn)營和監(jiān)管影響保持一致，另一方面，網(wǎng)絡(luò)責(zé)任保險公司則基于對網(wǎng)絡(luò)安全事件的暴露程度來評估成熟度，使用自我評估、第三方評估、外部掃描、文件審查，有時還有訪談來估算事件發(fā)生的可能性和成本。

好消息是：將你的項目與一個可信、開放的框架(如ISO 27001或NIST網(wǎng)絡(luò)安全框架)保持一致，有助于彌合這些不同的視角，這能讓你展示出一個主動的安全態(tài)勢，減少與ERM相關(guān)的擔(dān)憂，并可能獲得保險激勵——同時使用一種能讓風(fēng)險、安全和高層管理人員產(chǎn)生共鳴的通用語言。

同樣(有時甚至更為)重要的是，采用基于框架的方法，特別是通過ISO 27001、HITRUST或SOC 2等第三方認(rèn)證來驗證時，能增強(qiáng)與你最關(guān)鍵的受眾——即你的客戶之間的信任。

CISO們以財務(wù)或商業(yè)術(shù)語向非技術(shù)高管傳達(dá)網(wǎng)絡(luò)安全風(fēng)險的最有效方式是什么?

我們常見的一個挑戰(zhàn)是缺乏正式的ERM程序，或者風(fēng)險職能的碎片化，其中企業(yè)、網(wǎng)絡(luò)安全和第三方風(fēng)險使用不同的影響標(biāo)準(zhǔn)進(jìn)行評估，這種缺乏一致性的情況使得CISO們難以與高層管理人員和董事會進(jìn)行有效溝通，標(biāo)準(zhǔn)化風(fēng)險程序并使用一致的影響標(biāo)準(zhǔn)，能使風(fēng)險比較更加清晰，共享理解更加深入，決策也更具戰(zhàn)略性。

隨著AI特定法規(guī)和框架的興起，包括NIST AI風(fēng)險管理框架、歐盟AI法案、紐約市偏見審計法以及科羅拉多州人工智能法案，這一挑戰(zhàn)進(jìn)一步加劇。AI并不完全屬于一個單一的風(fēng)險類別;它橫跨企業(yè)、網(wǎng)絡(luò)和第三方領(lǐng)域。因此，建立一個有效的AI風(fēng)險管理項目需要一個協(xié)調(diào)的、跨職能的方法，該方法要與更廣泛的ERM戰(zhàn)略相整合。

前瞻性的企業(yè)是如何將網(wǎng)絡(luò)安全融入其整體企業(yè)風(fēng)險管理戰(zhàn)略中的，CISO在塑造這種整合方面扮演著什么角色，特別是在那些網(wǎng)絡(luò)安全歷史上被視為孤立IT問題的行業(yè)中?

網(wǎng)絡(luò)安全傳統(tǒng)上被視為一個“價值保全”的職能，專注于風(fēng)險緩解，然而，前瞻性的CISO們認(rèn)識到，一個成熟、戰(zhàn)略性的安全項目也能通過支持創(chuàng)新/數(shù)字化轉(zhuǎn)型和建立利益相關(guān)者信任來推動“價值創(chuàng)造”，當(dāng)與組織的戰(zhàn)略目標(biāo)保持一致時，網(wǎng)絡(luò)安全就成為了商業(yè)的推動者，打破了孤立，并將CISO提升為了真正的戰(zhàn)略領(lǐng)導(dǎo)者。

不幸的是，許多企業(yè)，特別是制造業(yè)中的企業(yè)，在采用這種思維方面較為遲緩。在這個行業(yè)中，網(wǎng)絡(luò)安全歷史上一直處于次要地位，而現(xiàn)在正面臨著嚴(yán)重的后果。國防工業(yè)基地(DIB)供應(yīng)商可能因延遲CMMC合規(guī)努力而失去現(xiàn)有合同或被取消新機(jī)會的資格，這通常需要12到18個月才能完成。同樣，汽車供應(yīng)鏈制造商也面臨著TISAX認(rèn)證成為基準(zhǔn)要求的壓力。

教訓(xùn)是明確的：網(wǎng)絡(luò)安全不再是可選的，它需要積極主動，而不是被動應(yīng)對。它是一個戰(zhàn)略差異點，那些不采取行動的組織可能會落后。

CISO們應(yīng)該如何與CFO或風(fēng)險委員會就網(wǎng)絡(luò)風(fēng)險容忍度進(jìn)行對話，特別是在為安全投資辯護(hù)時?

使用清晰、與業(yè)務(wù)保持一致的風(fēng)險術(shù)語(如高、中、低)來傳達(dá)安全投資，并使用既定的影響標(biāo)準(zhǔn)(如財務(wù)暴露、運(yùn)營中斷、聲譽(yù)損害和客戶影響)來辯護(hù)支出，并使其與企業(yè)的優(yōu)先級保持一致，這會顯著簡化辯護(hù)過程。

例如：“為擬議的安全監(jiān)控工具提供資金對于實現(xiàn)CMMC認(rèn)證至關(guān)重要，這直接支持了我們在國防工業(yè)基地中2027年500萬美元的收入目標(biāo)?！?/p>

在我們的虛擬CISO參與中，我們發(fā)現(xiàn)基于風(fēng)險、以結(jié)果為導(dǎo)向的方法對于執(zhí)行領(lǐng)導(dǎo)層來說非常有效。我們以財務(wù)和運(yùn)營術(shù)語來界定網(wǎng)絡(luò)風(fēng)險容忍度，量化擬議投資的業(yè)務(wù)價值，并將安全舉措直接與戰(zhàn)略目標(biāo)聯(lián)系起來。我們盡量減少技術(shù)術(shù)語的使用，強(qiáng)調(diào)權(quán)衡，并向領(lǐng)導(dǎo)層呈現(xiàn)清晰、決策就緒的選項，這些選項既反映了行動的成本和后果，也反映了不行動的成本和后果。

CBIZ與許多中型企業(yè)合作。與大型企業(yè)相比，它們對網(wǎng)絡(luò)風(fēng)險的看法有何不同，你在該領(lǐng)域看到了哪些獨(dú)特的風(fēng)險管理盲點或機(jī)會?

中型企業(yè)往往缺乏內(nèi)部資源或?qū)I(yè)知識來領(lǐng)先于新興的網(wǎng)絡(luò)安全、隱私和AI相關(guān)風(fēng)險及法規(guī)。后果可能很嚴(yán)重，從數(shù)據(jù)泄露和監(jiān)管處罰到錯失市場機(jī)會。

這一挑戰(zhàn)為中型企業(yè)和服務(wù)提供商都創(chuàng)造了戰(zhàn)略機(jī)會：提供按需的虛擬服務(wù)，這些服務(wù)能夠以全職員工成本的一小部分來提供CISO、數(shù)據(jù)隱私官、CIO和法律能力，這些模式能夠?qū)崿F(xiàn)更快的合規(guī)、更強(qiáng)的韌性和更敏捷的風(fēng)險管理。