风险承受能力的一个基本原则是考虑事情出错后的后果。风险可能源自技术层面，但对于首席信息安全官(CISO)而言，挑战在于解读组织对影响的承受能力。

　　(配图说明：“在狭窄的巨石上行走的风险”)

　　将组织的风险承受能力与网络安全策略相协调，是首席信息安全官面临的一项重大挑战，这需要在技术控制和业务需求之间找到平衡。实现这种平衡需要具备适应不断变化的风险环境的能力。但正如CrowdStrike的中断事件所示，即使系统准备充分，也可能遇到意想不到的问题，这凸显了网络安全策略需要考虑组织风险承受能力的更广泛影响。

　　在很多情况下，这需要董事会的指导，但这并非必然。尽管管理组织风险明确属于董事会的职责范围，但根据IANS《2024年首席信息安全官状态基准报告》，85%的首席信息安全官认为董事会应为他们提供明确的风险承受能力指导，以便他们采取行动。然而，只有36%的首席信息安全官获得了这种指导，尽管定期的董事会接触让首席信息安全官对公司风险状况与安全任务的契合度更有信心。

　　奥克兰县首席信息安全官兼IANS教员沃尔夫冈·戈尔利奇表示：“那些与董事会和高层领导有更多面对面交流机会、关系更紧密的人，更清楚组织在风险方面的处境以及构建一个良好安全计划所需的条件。”

　　当首席信息安全官被排除在董事会层面的对话之外时，情况则截然相反。戈尔利奇说：“我们离高管层的对话越远，对风险承受能力的把握就越不准确，我们的治疗方案也就越不贴近业务。”

　　戈尔利奇认为，如果没有定期与董事会互动，首席信息安全官需要采取不同的策略，引导对话，设定参数，并就他们的项目收集反馈。他主张，同行可以提供重要的风险承受能力信号。“我认为你的主要目标不应该是‘我如何争取更多的董事会时间?’而应该是‘我如何更好地理解我全方位的关系，以确保我的风险承受力决策和我提出的风险情境与我的同行产生共鸣并合理?’”

　　风险承受能力与风险偏好的区别

　　问题的核心在于“我们愿意承担多少风险?”，而答案在于量化风险承受能力并将其与风险偏好区分开来。“风险偏好可能高度多变，它可能在董事会成员之间有所不同，而理解它往往很大程度上依赖于首席信息安全官(CISO)的直觉，”戈尔利奇表示。

　　另一方面，风险承受能力需要围绕特定目标或风险情景进行指导性讨论，其中CISO可以提出假设。“如果你能够明确表达，能够很好地描述它，那么你就可以真正进行良好的对话，让每个人都对风险及其应对措施有共同的认识。”

　　建议CISO们考虑潜在的组织影响和更广泛的公众愤怒，并避免试图让董事会成员就技术细节提供指导。“除非他们是技术型董事会成员，否则他们希望我们作为CISO来真正理解和控制这些风险，”戈尔利奇说。

　　关于风险的对话

　　为了引领风险对话并努力实现一致性，根据Momentum Technology战略、风险和合规咨询总监玛丽·卡迈克尔的说法，CISO需要量化网络风险并制定成熟的风险报告实践。卡迈克尔是ISACA的CRISC认证委员会成员，在开发风险框架方面处于前沿，她表示，使用来自行业资源(如IBM数据泄露成本报告)的数据有助于了解网络风险的可能性和潜在影响。“这对于医疗和教育等行业至关重要，因为这些行业在网络安全方面的投资往往不足。”

　　组织需要提高对风险的理解，特别是鉴于董事会最终对风险监督负有责任，他们可能会将这一权力下放给管理层。“管理层，而不仅仅是CISO，都有责任了解运营中可能存在的风险，并与CISO合作制定控制要求，”卡迈克尔表示。

　　适当的风险评估和战略规划对于将风险承受能力与企业目标相结合至关重要。卡迈克尔认为，需要加强对风险管理的教育，明确风险的责任归属，并将风险评估纳入战略规划流程中。这应包括情景分析，以评估网络事件对财务的影响。风险情景有助于估算网络事件可能造成的损失，包括评估对执行层呈现的名誉、财务和运营影响。

　　组织需要模拟网络事件，从外部攻击到内部威胁，借鉴新闻和最近的漏洞事件，以了解和缓解新兴风险。

　　诚然，总有可能出现黑天鹅事件，即无人预料或充分准备的事件。CrowdStrike事件便是一个例子，由于更新出错，该事件产生了全球影响。“谁会想到CrowdStrike会导致全球1000万台电脑瘫痪，并引发全球性中断?”卡迈克尔说道。

　　尽管如此，这提醒了CISO们，这些事件会改变组织的风险承受能力，未来他们可能需要制定针对完全数字破坏情景的策略，无论是直接的网络攻击还是由第三方引起的系统中断。“模拟完全系统中断以测试恢复计划、确定关键系统的优先级，并查看在最坏情况下，您是否能从备份中至少恢复一些数据，”她表示。

　　健全规划的风险与信息安全委员会

　　CISO使网络安全策略与组织风险承受能力相一致的一种方法是在整个组织中进行战略参与。“通过成立风险委员会并参与业务讨论，CISO可以更好地理解和应对新技术和举措相关的风险，并支持组织的整体战略，”卡迈克尔说道。

　　专注于风险和网络安全咨询的公司SingerLewak LLP的董事总经理卡尔·格里夫卡表示，信息安全委员会对于此任务至关重要。“需要定期对网络安全环境、风险承受能力和风险偏好进行评估，这将推动我们将要实施的控制措施，”格里夫卡告诉CSO。

　　该委员会作为一个跨职能团队运作，定期召集企业不同部门的成员，包括高管、IT、安全部门，甚至可能是董事会代表。“成熟度较低的组织可能需要每两周召开一次会议，特别是如果他们处于补救阶段并致力于减少安全态势中的漏洞时，”格里夫卡说，“委员会成为您前进过程中可以使用的沟通工具。”

　　对于成熟度较高的组织，成立委员会提供了一个机制来审查和应对不断变化的风险环境。“它应定期报告组织内部的信息安全状况，”格里夫卡表示。

　　鉴于CISO的责任繁重且任期短暂，他们可能难以深入了解业务。该委员会是一个有用的论坛，有助于CISO了解整个组织的动态。“理想情况下，他们应该真正掌握业务的脉搏，”格里夫卡说。

　　为了减轻这一任务的艰巨性，积极与其他业务领导者建立关系将有助于CISO了解正在发生的事情并建立信任。“有了这种融洽关系，希望他们会在打电话时说‘嘿，我们打算这么做’，然后CISO就能了解情况，”格里夫卡补充道，“其他业务领导者也应该愿意在闲聊时与您交流。”

　　接下来是成熟度评估

　　通过深入了解业务，更容易将其风险承受能力转化为安全态势。这需要一个成熟的框架，并且不接受比组织愿意承担的更多风险。

　　这始于成熟度水平评估，将控制措施与行业框架进行映射，定义组织期望的成熟度水平，并将其转化为具体的控制措施。“你不应该投入明显超出需要的控制措施，因为这会降低效率并增加额外成本，”格里夫卡说。

　　找到平衡是必要的，但这绝不是一个静态的设定即忘的位置。“它必须是动态的，因为今天看似合理的事情可能在两年后就不再合理，因此这个过程需要定期调整，”他说。

　　CISO如何通过协作促进组织增长

　　网络风险是业务风险，需要通过IT控制来解决。然而，挑战之一是首席信息安全官必须掌握这些风险的含义。风险不是未修补的漏洞，而是风险对业务的影响，戈尔里奇告诉首席安全官。“我们作为安全领导者提升风险情景并领导关于容忍度的对话的能力，取决于我们将风险置于业务背景和我们所销售的产品之中。”

　　戈尔里奇建议，作为首席信息安全官，你的知识在掌握这一点上起着一定作用，其中具有GRC背景的首席信息安全官更擅长将安全风险与业务风险联系起来，因为他们了解合规义务，而那些来自SecOps路径的人可能会更加困难。

　　尽管如此，首席信息安全官需要意识到业务运营环境，并借助适当的指标来说明风险是如何被管理的。目标是表明风险正在降低，并且首席信息安全官已经实施了有效的治疗计划。要做到这一点，根据IANS报告，首席信息安全官需要更强的商业敏锐度，这越来越包括提供建设性的方法来支持将风险视为商业机会。“这种商业敏锐度是了解风险对业务的影响，而不是技术基础，”戈尔里奇说。

　　然而，戈尔里奇认为，“积极风险”是安全领导者发现很难识别和利用的东西。“部分原因是网络安全的负面影响如此之大，而积极面则是没有发生坏事，”戈尔里奇说。他鼓励首席信息安全官与其他技术领导者建立更牢固的合作伙伴关系，以了解业务目标并识别相关风险。这包括与首席信息官或首席技术官合作寻找实现目标的方法，因为独自前行可能是一条艰难的道路。

　　卡迈克尔说，长期以来，首席信息安全官和网络安全团队一直被视为说“不”的部门，并且非常厌恶风险。但如果业务就是抓住机遇，那么增长就意味着拥抱和管理风险，无论是以AI和物联网等新技术、新应用、拓展新市场还是收购新企业的形式。

　　为了摆脱这种声誉，首席信息安全官和网络安全领导者需要建设性地支持组织的增长计划。“现在首席信息安全官职责的一部分是，在确保业务受到保护的同时推动这些计划向前发展，”卡迈克尔说。