關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.03.19
標準與框架/組織治理
停止圍繞控制措施建立安全目標

在 Help Net Security 的這次訪談中, Fitch Group的首席資訊安全長 Devin Rudnicki認為,當安全策略與業務成果失去聯繫時,它就會失敗。Devin Rudnicki詳細說明如何將安全目標與企業優先事項保持一致,首席資訊安全官為何必須以領導層能夠採取行動的方式呈現風險,以及如何在創新速度和可控風險之間取得平衡。

她概述了每個安全項目都應追蹤的三個指標:價值、風險和成熟度。Devin Rudnicki也探討了成熟度模型在哪些方面有所幫助,在哪些方面會誤導人,並解釋瞭如何決定哪些環節需要自動化。

安全領導者在製定策略目標時,甚至在選擇工具或指標之前,最常犯的錯誤是什麼?

我發現領導者犯的最大錯誤是,沒有將「為什麼」與業務成果和安全保障聯繫起來。安全目標通常被定義為控制措施,例如“實施 X,推廣 Y”,而不是結果。如果我無法充分解釋某個安全目標如何保護收入、客戶信任或正常運作時間,那麼它很可能不具備戰略意義。

在實踐中,這意味著將安全策略與三個要素緊密結合:企業目標、組織面臨的實際網路威脅以及相關的產業標準。在惠譽,我們的資訊安全策略正是圍繞這三個維度精心設計的,因此我們能夠闡明安全決策如何助力業務策略的實施,而不僅僅是滿足控制要求。

戰略應是資訊安全團隊為組織進行一切工作的核心。我致力於將惠譽的資訊安全策略轉型為以結果為導向,同時與公司目標保持一致,應對關鍵網路風險,並遵循一流的行業標準。這有助於我們對策略的執行負責,並使我們能夠展現可衡量的進展。

首席資訊安全長 (CISO) 應該如何處理企業領導層希望“加快創新速度”,但安全部門知道當前環境無法安全地支持創新的情況?

首先,必須確保企業了解快速實施的風險和潛在影響。一款可能帶來100萬美元收入的新工具,如果引入重大網路風險並導致嚴重的網路安全事件,最終可能會對企業造成500萬美元的損失。目標是為決策者提供既能降低風險又能安全推進創新的緩解方案,其中一種方法是在安全的「沙箱」環境中實施創新,以驗證潛在的商業效益並了解風險狀況。

首席資訊安全官 (CISO) 需要注意,他們提出的緩解措施必須適度——投入 500 萬美元實施安全控制措施來保護價值 100 萬美元的資產,通常並不合理。 CISO 也應將當前的網路威脅情勢納入決策考量,地緣政治事件或其他不斷演變的威脅都可能在特定時期顯著增加組織的網路風險。

如果可以強制每個安全項目向領導階層報告三個策略指標,你會選擇哪三個?為什麼?

價值為重大網路安全投資創建投資報酬率 ( ROI ) 和/或目標關鍵成果 ( OKR ) 指標,以證明該舉措的價值。例如,我的團隊實施了一款人工智慧客戶安全問卷工具,將內部回應時間縮短了約 75%。效率的提升意義重大,因為它使團隊擺脫了重複性的手動工作,縮短了客戶回應週期,並使團隊能夠專注於更高價值的風險分析和客戶互動。

風險持續追蹤企業網路風險,涵蓋系統、應用程式、網路和第三方,使高階主管能夠了解風險敞口是上升還是下降,從而做出明智的策略決策。這種追蹤應反映真實的業務影響,採用與業務相關的風險分類,突出最重要的事項,而不是用大量資料淹沒領導者。

能力/成熟度將網路安全成熟度得分與目標成熟度得分進行比較,聘請獨立的第三方機構根據行業標準框架進行網路安全成熟度評估非常有幫助。這可以顯示貴組織的網路安全成熟度隨時間推移的進展情況,並精準指出網路安全投資在哪些方面提升了安全態勢並降低了風險。

成熟度模型有助於制定安全策略,還是會讓團隊陷入形式主義思維?

成熟度模型是衡量安全策略成功與否的有效方法,但不應作為唯一的衡量標準。它們有助於展現安全成熟度隨時間推移的發展方向,並在安全部門和領導層之間建立共同的語言。鑑於需要保護的資訊和系統數量龐大,它們還有助於確定有限資源應該投入哪些方面。

然而,領導階層必須明白,成熟度並不等於百分之百的安全──即使是最成熟的安全方案也可能發生網路安全事件。更高的成熟度意味著能夠更快地偵測、回應和恢復網路安全事件,這種區別對於高階主管至關重要。成熟度評估只有在能夠支持投資決策和彈性規劃時才最有效,而不是被視為保證或終點。

雖然有些團隊可能將成熟度評估結果視為「待辦事項」清單,但他們無需如此使用。更好的做法是將評估結果視為指導,以確定推進網路安全和業務策略的最有價值措施。

在策略規劃中,您建議團隊如何決定哪些環節應該自動化,哪些環節應該保留人工操作?

從領導的角度來看,評判自動化的標準不僅在於降低風險,還在於它是否能讓人們有能力運用判斷力、發展專業知識並更深入地參與業務。在涉及人的決策中,尤其是在高風險決策和問責制方面,人機協作仍然是關鍵。最有效的自動化方案著重於重複性的日常任務,使團隊能夠騰出更多時間從事策略性、高價值的工作。

隨著企業對新興科技的應用日益廣泛,員工對角色轉變的擔憂必然會增加。領導者必須有意識地、透明地溝通變革,解釋這些新技術對企業運作方式以及員工如何持續創造價值的影響。

資料來源:https://www.helpnetsecurity.com/2026/03/18/devin-rudnicki-fitch-group-ciso-business-alignment/
 
Fitch Group 資安長 Devin Rudnicki 的核心觀點:資安目標不應僅止於技術控制項,而應與業務成果緊密結合。