组织总是在寻找使自己在竞争中脱颖而出的方法. 根据 波特一般策略, 这些竞争优势采取价格或产品/服务差异化的形式,并且范围集中或广泛. In 2022, 随着利益相关者资本主义的兴起, 我们看到了其他因素的增加,这些因素可能会增强波特的原始模型. 环境, social, 公司治理(ESG)问题是董事会会议上始终存在的议程项目,通常反映了利益相关者的观点.
机构投资者, 越来越多的个人投资者, 想要投资那些与他们的价值观相一致的公司. 越来越多地,这包括对数据的适当保护. 网络安全问题完全属于ESG的公司治理部分. 穆迪(Moody 's)等评级机构已经建立了ESG评级方法,并正在为网络安全做同样的事情. 事实上, 穆迪曾公开表示,使用定量方法(即网络风险量化,简称CRQ)在他们看来是“正面信用”, 这一声明意味着他们认为网络安全对公司的信用评级有影响,因为网络事件通常会带来严重的成本.
公司已经在其网络安全组织中增加了网络声誉管理实践,以管理这些公共网络评级. 有几家公司提供安全评级服务, 每个都有自己的模型和算法. 网络安全团队订阅一项或多项此类服务,以管理此类评级中使用的数据. 他们还订阅监控他们不断增长的第三方名单,并寻找可能导致网络事件的弱点. 代理顾问使用相同的评级服务来补充年度代理报表中的财务数据. 其他用例包括网络保险承销商寻找基于证据的理由来拒绝申请,并帮助客户改善其控制环境.
这些做法的核心是增加对数字经济的信任. 信用评级是实现信任模型的合适模型. 与澳门赌场官方下载信用评级一样,评级可以在被评级实体参与的情况下完成,也可以不参与. 它们也可以向公众提供(如安全评级)。. 深度分析也可以私下进行并共享(可以将其视为渗透测试或安全评估)。. 最后, 这些评级可以由那些自豪地通过网络徽章展示其表现的组织公开显示,客户可以点击这些徽章来查看发行证券评级公司对该公司的评分.
当然,那些想要优化他们的 数字信任配置文件 必须了解哪些控制和流程需要优化. 虽然专注于所有控制是一种策略,但这并不是一种特别优化的方法. 安全评级模型的设计考虑了节俭,从外部数据收集数据. 而不是测量所有的东西, 这些评级的作用是找到控制状态(以及更重要的随时间变化的控制状态)与安全事件之间的高度相关性. 例如, 这种方法基于对如何管理漏洞的外部度量的推断,对组织的漏洞管理过程的状态做出假设. 网络声誉管理集团可能需要特定的内部优先级,以这种方式衡量控制,以确保他们的数字信任档案保持高水平. 因为用于获得此类评级的指标会随着时间而变化, 这些程序必须调整并向其他安全组提供反馈.
随着网络安全专业的不断成熟, 它不可避免地会借鉴其他已经发展成熟实践的学科. 在这个, 信用评级行业在努力提升其数字信任形象和能力的过程中,可以为网络安全提供很多东西. 从历史上看, 信用评级曾受到抵制,但后来因其一致性和可预测性而受到欢迎. 网络收视率也是如此, 如今,更多的公司选择与评级机构合作,而不是抵制. 对于这些服务的消费者, 这是另一个基准,可以用来帮助告知基于风险的决策,决定他们应该与谁做生意. 随着市场的成熟,人们对数字信任的期望也越来越高, 独立的安全评级将是成熟安全实践的标志.
作者简介: 杰克·弗伦德博士.D., cisa, cism, crisis, cgeit, cdpse, nacd.DC, 是BitSight的副总裁兼网络风险方法论负责人吗, 《澳门赌场官方下载》的合著者, 2016年入选网络安全佳能, ISSA杰出研究员, 费尔学会澳门赌场官方软件, IAPP信息隐私研究员, (ISC)2 2020年全球成就奖, 以及2018年ISACA的John W. 雷恩哈特四世共同知识体系奖获得者.
