- A+
网络公开声明指出了公司可以连续走多长时间而无违规行为,可以帮助客户了解网络事件的现实情况以及遭受损失的风险。
有时我们的投资会亏损。 这不是因为缺乏尝试,实际上大多数投资公司都从我们投资的增长中获利。 但是尽管有最好的意图和详细的投资计划,但有时最终我们得到的结果少于开始时的结果。 这可能是由于外部因素,例如与失业或利率相关的市场波动所致; 它也可以是特定于行业的指标,例如新住房指标如何影响住房改善市场的前景。 如果您选择阅读每项投资需要的SEC要求的小册子(而不是快速将它们扔进回收箱中),您会看到某种古老的格言,即过去的业绩并不代表未来的结果。 也可以将类似的内容与组织的网络风险概况相提并论。
任何一个组织都可能在没有安全漏洞的情况下运行了数年,在此期间,他们很容易以为自己可能永远不会遭到黑客攻击,并且围绕它们进行的所有其他此类漏洞都是由于其卓越的实践或低调的行为。 他们可能(隐式地)认为自己的治理结构和报告如此重要,以至于所做的事情足以阻止攻击者无限期地前进。 实际上,这种自满会影响组织,使他们不再按应有的方式对安全性进行投资。 可以削减一些关键的事情,例如人员,培训资金以及技术和功能的升级。 即使是基本的安全卫生功能(如补丁和端点保护)也可以被抛弃或大幅削减。 这种安全性萎缩状态不可避免地会导致违反。
现在,组织对这种情况的反应是重言式的:这些组织“认真对待”,提供信用监控,并且通常不更改其高级安全领导力。 这些响应实际上是隐含的失败的面纱。 它从来没有用太多的语言来表达,但是一旦遇到漏洞,一个安全的组织就可以切实保护您的数据的制造远景就被搁置了。
而不是当前的状态,在我们虚构的故事中,组织可能永远不会被黑客入侵,而如果我们所有人公开承认现实并拥抱现实,该怎么办呢? 想象一下一个世界,组织在网络损失预测方面保持领先。 公司可以利用网络风险量化(CRQ)方法来预测公司认为他们将经历一次违规的频率,并且这样做需要花费多少资金来应对此类事件。 这并非易事,因为这些公司已经被要求在其大部分财务运营中计算基于风险的资本(RBC),并且良好实践表明它们也应在这些计算中包括运营风险。 许多银行都进行了压力测试,这是一个非常公开的活动,公开了其RBC的充分性。 该建议会将其扩展为简单易懂的客户信息披露。
想象一下,客户基于简单的语言,包括违约预测在内的贷款式事实真相来选择银行,比如说在五年,七年或十年的时间表中。 为此,可以制定风险概况,包括适当量化的网络风险价值(VaR)度量标准以及相应的时间表,以表达好年和坏年。 某些时候,不会有违反(没有损失)的情况,但是有时候,不可避免地会有损失。
尽管像SEC这样的监管机构要求对影响重大性的事件进行更多的披露 ,但我在此提议的这种披露将侧重于未来。 一种有助于设定在组织中投资其数据的消费者的期望的措施。 假装您的组织永远不会违规,将不再是一种选择。 取而代之的是,当客户开设支票帐户或申请新的信用卡时,他们将收到银行的披露,称其当前的信息安全计划能够将违约频率保持在每五年一次。
另一家银行也许可以断言他们可以每7年保留一次。 他们甚至可以将财务激励措施与该指标挂钩,如果在预计期限之前发生了某些情况,客户将从中受益。 任何在该市场上运营的银行如未宣称有违规行为,或对此不予置评,将立即被告知其信息安全和网络风险计划不成熟。
这种现实与消费者观点的结合可能不会受到行业驱动,但是,一个前卫组织可以开始在良好的网络风险管理方面树立声誉,并打破这样的幻想:随着时间的推移,组织可以存在而不会发生安全事件。 这样的网络披露声明对于帮助客户了解网络事件的真实性及其遭受损失的风险而言可能是有价值的。
它还可以为企业建立一个更具竞争性的格局,以便公司将其信息安全团队用作市场差异化因素。
就像我们为退休投资收到的招股说明书一样,重要的是要了解损失会随着时间的流逝而发生,并且不存在最终不会发生损失的现实。 我们已经让我们自己和其他人相信,信息安全事件可以无限期地推迟。 我们需要接受这样的现实,即随着时间的流逝,每个人都会失败,从而提高网络风险实践的成熟度。 信息安全计划的成熟与否永远不会发生事件有关,而在于事件发生时如何应对。
Jack Freund是RiskLens风险科学总监,TIAA网络风险前总监,FAIR标准的合著者。
访问我们的微型网站,享受Threatpost的InfoSec Insider社区的其他见解。