随着企业数字化程度的提高，它们面临的网络安全风险和威胁只会增加。这项研究有助于高管领导了解敏捷网络安全计划的重要性，以及如何与安全和风险利益相关者合作，为下一次重大破坏做好准备。

主要发现

• 新冠肺炎疫情、地区冲突、全球政治紧张局势、经济不确定性和生成性人工智能等事件造成的破坏，正在催生新的技术采用模式（例如 IT 民主化、商业技术人员），这也带来了新的网络风险。

• 这些事件凸显了严格、不灵活的安全计划所带来的挑战。它们还强调了对能够根据外部变化做出调整的敏捷网络安全计划的迫切需求。

• 网络安全领导者面临着压力，他们需要支持和推动快速变化的业务需求和优先事项，而不是阻碍和减缓这些需求和优先事项。这需要新的网络安全治理、战略和运营方法。

建议

为了通过实施敏捷网络安全计划来加强风险管理，高管领导应：

• 通过认识和理解敏捷安全和风险管理实践的重要性，实现分布式风险决策。

• 支持安全和风险管理（SRM）部门改变安全战略和战术规划，以便更好地响应运营环境的变化。

• 鼓励 SRM 发布安全运营模型，并在做出任何紧急决定之前对其影响进行快速桌面评估。

介绍

最近的全球社会经济和政治动荡对所有组织产生了深远的影响，这些影响包括：

• 快速加速组织的数字化计划——例如，增强在家办公能力、更多地采用人工智能（AI）来调整供应链和制造流程，以及部署新的移动应用程序来与客户互动。

• 针对远程员工的网络攻击有所增加——针对开始在家办公的员工的大量表面和不断变化的行为进行了调整。

• 政府法规的快速演变——迫使许多企业对其现有运营模式做出快速改变，并对 IT 和安全人员提出挑战。

• 供应链中断——凸显了许多此类系统的脆弱性以及许多企业对其供应链的高度依赖。

• 压力和焦虑增加——分散了许多员工的注意力，使他们更容易成为网络犯罪分子的目标。这凸显了有效的环境、健康和安全能力的重要性。

这些影响已经形成了影响网络安全计划的持续力量（见图1 ）。

图 1：影响网络安全计划的持久力量

结果，大多数安全团队不得不迅速重新调整其路线图和投资的优先顺序，这极大地扰乱了他们计划的工作计划。经济和政治冲击进一步凸显了对足够敏捷的安全计划的迫切需求，这些计划能够应对大大小小的外部冲击。在组织应对这些变化的影响时，高管必须了解重新设计网络安全计划以实现敏捷性的重要性。

分析

通过自适应治理实现分布式风险决策

远程工作加速了数字化进程，其特点是敏捷、分散的决策。传统的集中式安全治理阻碍了敏捷风险决策，需要安全治理实践做出相应调整。

高管领导应理解并强调正式化和培养安全风险所有者责任原则的重要性。该原则规定，资源所有者（例如业务流程、应用程序和数据所有者）负责保护组织的信息资源、业务流程和成果。这也意味着资源所有者必须拥有必要的自主权、权限、信息和工具，才能做出影响其资源的安全风险决策。当无法确定明确的业务资源所有权时（例如，在共享信息和基础设施的情况下），责任、风险所有权和相关权限必须由另一方承担。这通常是首席信息官 (CIO) 或其他核心职能，例如首席运营官 (COO)。

将能力、责任和相关的自主权和权力正式化是采用自适应数字风险治理模式的基础。自适应治理是一种组织能力，它决定了在特定环境下实现所需业务成果的正确治理方式和机制。最终，自适应风险治理是有效分布式风险决策的先决条件（见图 2）。

图 2：自适应风险治理模型

尽管分布式风险决策有助于提高敏捷性，但它本身并不能带来更敏捷的风险管理。此外，并非所有风险决策都可以下放。许多组织不具备所需的成熟度，一些企业项目仍然需要集中风险评估。如果风险管理实践以合规性和框架驱动的评估为中心，情况尤其如此。明确定义风险偏好有助于有效的分布式风险决策。

如今，大多数安全团队都执行非正式和直观的风险评估，通常没有意识到他们在没有任何正式评估的情况下做出了隐性风险决策。少数从业者有时会进行更严格、更有条理的评估。高管领导应鼓励安全团队制定更敏捷的风险评估，以便大多数评估能够快速完成，但又足够严格。同时，高管领导应要求安全团队确保在少数情况下（情况需要）能够执行更详细的评估（见图 3）。

图 3：敏捷风险评估方法

为了采用敏捷风险评估方法，执行领导应让 SRM 领导者认真完成以下步骤：

• 确定相关利益者。

• 确定评估范围，并与相关利益者达成一致。

• 将评估范围与现有的类似领域、解决方案或基础设施模式进行比较。这将有助于确定重复使用现有评估结果和控制决策的机会。

• 与主要利益相关者讨论以决定是否：

o   需要更详细的风险评估。如果需要，请安排评估。

o   有足够的信息和控制来就剩余风险达成一致。如果是这样，请记录该决定、所遵循的流程和风险接受声明。

风险决策应分散，不再由信息安全职能部门或正式定义的风险所有者子集负责。自适应风险管理是有效、分布式风险决策的先决条件。高管领导应了解正式化和巩固所有者问责制原则的重要性，因为这将使安全和风险领导者能够巩固自适应风险管理的基础。

改变安全战略和战术规划

大多数安全战略计划每年制定一次，有时每三至五年制定一次。数字化带来的变化速度因近期的经济和政治冲击而加剧。明确的年度安全战略计划不一定是敏捷的。

高管领导应支持 SRM 领导举办季度情景规划研讨会，以确定需要对安全战略和路线图进行重大改变的重大影响事件的关键领先指标。此类研讨会的议程应包括：

• 评估当前商业、技术和威胁环境中的宏观趋势。这应包括企业运营所在的商业、政治、技术、经济或健康环境中正在出现或即将发生的变化。

• 识别任何可能影响业务的潜在情景以及任何相关的网络风险。

• 确定如果情景出现则必须考虑的潜在宏观行动。

o   执行领导还应决定是否应对其中一种或多种情景进行风险和业务影响评估。

o   根据这些评估的结果，或者一旦触发事件出现，安全路线图就应该进行调整，以反映对应对新情况的新功能、新政策和新控制的投资。

• 识别将启动这些操作的触发事件并需要制定额外的详细响应。

这些研讨会的结果应得到高管领导的认可，其中包括：

• 首席运营官

• 首席营销官或销售副总裁

• 首席风险官

• 首席财务官

• 隐私官

• 法律顾问

• 首席信息官

• 企业架构主管

敏捷安全规划和决策的一个关键制约因素可能是组织的安全策略所规定的限制。用更广泛的安全原则取代一些详细的安全策略可以加快决策速度。例如，强制性用户识别和身份验证方法的规定性政策可以用一个简单的原则来取代，该原则规定：“所有需要访问组织系统的人员或服务都必须具有唯一的标识符和风险适当的身份验证。”这为快速控制决策提供了更大的灵活性——尤其是对于动态和敏捷的数字化项目。这种方法在缺乏政策、标准、指南或程序的领域也很有用。

安全原则的示例包括：

• 控制措施将与明确的风险决策挂钩

• 风险决策将与业务需求和记录的风险挂钩

• 每项政策、控制措施或流程都会有一个负责的人员或角色

• 我们将在切实可行的情况下实施纵深防御（或分层）安全控制架构/环境

• 我们将始终采用侵入性最小的方法

发布安全运营模型，降低快速决策固有的风险

安全计划是一个在快速变化的环境中运作的复杂生态系统。执行领导应该意识到，SRM 领导做出的改变某件事的每一个决定都会对生态系统产生影响。其中一些影响是可以预料到的，希望总体上是积极的。然而，有时可能会出现意想不到的和意想不到的后果。

安全运营模型可用于在实施变更决策之前快速评估其潜在后果（见图 4）。

图 4：信息安全运营模型

Gartner 的研究表明，网络安全运营模式正在一些关键领域发生深刻变化：

• 网络风险所有者责任正在正式化

• 网络风险管理在风险所有者和中央风险保证职能之间正变得更加协作

• 基于不太规范的安全政策，网络安全政策管理变得更加灵活

高管领导应鼓励 SRM 领导在针对技术或业务环境的变化做出任何紧急变更决策之前，对使用运营模式的影响进行快速桌面评估。这将有助于 SRM 领导了解他们的决策对整体安全运营模式的广泛影响。

关于商业价值

执行领导必须在经营业务的需要与业务面临的风险之间取得平衡。随着数字业务要求的日益严格，应该进一步审查 SRM 领导的绩效和效率。执行领导应该了解如何才能让 SRM 不再成为成本中心，而是成为业务部门或组织的价值创造者。

执行领导应支持 SRM 领导促进此类业务成果，并有理有据地展示组织的价值创造。这样，SRM 功能就成为企业的竞争优势。执行领导还应鼓励 SRM 领导制定并向非 IT 高管（包括董事会）传达叙述。这将有助于他们重新审视组织对安全和风险的看法。