许多高管正在以“瞎子摸象”的方式管理部分(而非全部)组织的风险,因为他们对企业安全风险没有完全的了解。
毕马威(KPMG)网络安全服务全球联合负责人托尼·布丰曼特(Tony Buffomante)表示:
“
人们普遍认为企业对情况有完整的了解,这显然是一个误会。”
事实上,很多CISO并没有完整的IT资产清单,也没有员工和业务部门使用的所有第三方供应商和云应用程序的完整列表。他说:
“结果,许多公司仅对不健全或不准确的库存执行风险评估程序。”
不少业内人士支持该观点:CISO常常对他们的企业环境没有完整的了解。其背后的原因各不相同。有时,被收购的公司没有完全融入母公司。有时,各部门运行自己的技术业务并在这些孤岛周围筑起隔离墙。无论出于何种原因,这种情况都会使CISO无法全面评估整个组织面临的风险。
与此同时,许多安全运营团队对自己的工作的了解有限,Insight的安全咨询业务高级经理Mike Sprunger认为,这是因为安全团队没有使用可帮助他们量化和跟踪风险变化的指标。他说,中小型组织通常不跟踪风险指标,因为它们缺乏此类实践的资金和专业知识,而大型公司有时也不跟踪,因为它们对此类工作的复杂性感到不知所措。
不少安全顾问承认,全面了解技术环境和安全运营需要花费大量精力。CISO必须依靠他们的执行技能来打破长期存在的IT孤岛,而且他们必须优先考虑监督要求,以创建可以提供定量观测分析的指标计划。
Sprunger补充道:
