CISO們深知風險管理對于建立和維持企業安全的韌性至關重要，然而，盡管他們盡了最大的努力并懷有良好的意圖，許多安全領導者仍然會陷入常見的陷阱，從而削弱了他們的最佳努力。

　　無論企業的規模、使命或范圍如何，風險管理在整體安全態勢中都扮演著基礎性角色，即便是看似簡單的錯誤也可能帶來嚴重后果，而CISO不可避免地會因此被指責。

　　以下是CISO在風險管理中常犯的錯誤及如何避免它們的詳細介紹。

　　1. 缺乏明確的目標

　　CISO最常犯的風險管理錯誤之一就是未能創建一個明確的項目目標，Deloitte(德勤)網絡業務咨詢部門的負責人Kristi Preuss表示。

　　Preuss觀察到，許多CISO每天都在應對各種持續存在的問題和突發事件。因此，他們始終處于“救火模式”，沒有時間去制定或成功實施一個更廣泛的信息安全戰略。她說：“相反，許多CISO一上任就陷入細節中，試圖一次性處理所有問題，往往只能依賴遺留工具和有限的資源。”

　　當CISO陷于這種被動和操作性的工作方式時，企業戰略就會受到影響，企業的安全控制也很難跟上并超越當前的威脅態勢。Preuss指出：“如果項目目標過時或定義不清，戰略投資有限，缺乏創新的戰略規劃，CISO不僅讓企業受到了損害，還最終增加了信息安全和網絡風險。”

　　Preuss建議，那些希望擺脫困境、回歸戰略領導地位并采取主動安全策略的CISO應當部署常規化的操作性風險流程。她還建議減少關鍵團隊成員花費在可以由非關鍵人員處理的日常任務上的時間。

　　2. 過度進行安全和風險評估

　　許多CISO構建了過于控制導向的安全和風險管理項目，導致幾乎不斷地進行風險評估，總是試圖發現新的問題來解決。Google Cloud(谷歌云)CISO辦公室全球負責人Nick Godfrey警告說。

　　“盡管最初進行風險評估對減輕風險是有幫助的，但長期來看，這變得不再具有生產力，導致一個無休止的循環，產生不成比例的成本，并錯失資源可以更好地投入其他地方的機會。”他表示。

　　Godfrey指出，CISO通常想要應對組織可能面臨的每一個風險，往往是在董事會的壓力下，推動安全領導者變得過于謹慎。“這導致建立了‘硬編碼’的風險項目，唯一的做法是優先進行持續的風險評估和緩解措施。”他說。

　　這種被動的思維方式可能會掩蓋對更具戰略性方法的需求，這種方法應考慮到風險對人員、產品和財務的潛在影響。此外，心理因素也可能導致個人或團隊在風險評估方面表現不佳。

　　Godfrey表示，正確的風險管理方法是一個整體性的方法，既要保持適當的風險水平，又不需要持續進行緩解工作，從而可以根據需要更合理地重新分配資源。

　　他說：“擁有最佳安全態勢的組織不僅僅是保持低風險，還會花費額外的時間來提高效率和能力，以進一步降低風險。”

　　Godfrey建議優化風險控制的安排，以減少所需的控制數量，自動化活動以減少維護和管理負擔，并通過強有力的欺詐預防方法改善客戶體驗。

　　3. 未能建立真正的安全文化

　　文化是信念、價值觀和行為的綜合體，因此，網絡安全文化主要由組織內部的人所推動。NCC Group(NCC集團)網絡安全和托管服務公司的風險管理和治理技術總監Sourya Biswas表示，建立這種文化的最佳方式是通過實際行動來展示，而不僅僅是通過宏偉的使命聲明或華麗的演示。

　　他指出：“一個能夠堅持正確的安全信念、共享正確的安全價值觀并激勵正確安全行為的企業，能夠建立起正確的企業級網絡安全文化。沒有正確的文化，再好的安全策略也會失敗。”

　　由于網絡安全文化主要由人來驅動，它應該由企業最高層的領導來示范，Biswas表示。“換句話說，這不應該是安全組織的責任，而是整個高管團隊和董事會的責任。”他認為，最高層的態度對于培養有意義的網絡安全文化至關重要。如果員工看到領導層不踐行他們所倡導的原則，他們也很可能會效仿。

　　他總結道：“最終，企業中的每個人都有責任促進網絡安全文化。”

　　4. 認為他們的安全比實際情況更牢固

　　CISO犯的最大錯誤是認為他們已經獲得了完全的控制權，依賴他們的安全計劃，并將信心寄托于一系列行業認證，認為這些可以保護他們的企業免受網絡威脅。Radware網絡安全技術提供商的CISO Howard Taylor指出，網絡安全復雜且不斷演變，總會有新的攻擊者、新的攻擊方式，或者舊攻擊的新變種。“保持警惕和準備是唯一真正管理風險的方式。”

　　網絡安全需求隨著時間的推移而變化。Taylor警告說：“如果你沒有定期改進和驗證你的控制環境，你會發現你的企業處于無保護狀態。”威脅態勢處于持續變化之中，初次實施時被認為強大的安全解決方案，隨著時間的推移會變得脆弱。“哪怕只是一小段時間放松警惕，都可能付出巨大的代價。”

　　更糟糕的是，CISO常常基于一種虛假的安全感做出決策，Taylor表示。他們花費了大量的資金和時間來改進網絡安全防御和培訓團隊，認為不可能達不到完全的保護。

　　“實際上，對于‘我們是否安全?’這個問題，唯一真正的答案應該永遠是相同的——一個響亮的‘不’。”他說。

　　5. 打勾式的風險管理方式

　　ISG(ISG技術研究和咨詢公司)的數字技術研究主管Jeff Orr表示，CISO們通常專注于確保符合法規和標準，而不是評估和管理他們的企業面臨的實際風險。

　　“這可能源于一種誤解，即合規等同于安全，”他表示，并補充道，這種誤解可能導致一種打勾式的心態，使企業只專注于符合法規要求，卻忽視了評估和緩解現實世界中的威脅。“結果是，漏洞可能持續存在，導致本可以通過更具戰略性、基于風險的方法避免的泄露和數據丟失。”

　　Orr表示，隨著時間的推移，CISO可能會變得自滿，依賴既定的安全協議，而不重新評估其有效性或適應新風險。“一種被動的‘打地鼠’式方法是不可持續的，它可能導致過時的安全政策和控制，無法應對當前的威脅。”

　　6. 未能建立有效的衡量指標和治理模型

　　安全策略公司Tufin的現場CTO Erez Tadmor建議，CISO應平衡其安全工具與強有力的、持續的衡量和治理模型。“通過優先開發并定期審查這些框架，CISO可以顯著增強組織的安全態勢。”他表示。

　　有效的衡量指標和治理模型將有助于確保安全政策始終與法規要求、行業最佳實踐以及企業的特定需求保持一致。Tadmor表示：“清晰且持續的可見性使團隊能夠在錯誤配置導致安全漏洞之前發現問題。沒有強有力的衡量指標和治理，衡量安全舉措的成功以及保持最新、有效的政策將變得非常困難。”

　　7. 未能創建強有力的運營彈性計劃

　　Semperis安全技術提供商的CISO Jim Doggett表示，運營彈性計劃從全局出發，涵蓋整個企業的生態系統，展示在破壞性事件期間如何維持業務運作。“通過優先考慮運營彈性，CISO可以在應對關鍵安全風險的同時平衡業務連續性管理。”

　　Doggett說，通過細致的規劃，企業可以減少中斷，快速恢復，并在遭遇攻擊時減少對企業利潤的影響。“如果沒有運營彈性計劃，你的整個生態系統，包括供應商、合作伙伴和供應鏈，都會面臨風險。”

　　然而，運營彈性工作往往會在企業內部缺乏協調時失敗。“作為企業的領導者，CISO負責推動安全舉措，但運營彈性需要整個組織的參與，”Doggett表示，“你不能僅僅把它交給某個部門或團隊，所有人都需要參與其中。”