為(wèi)什么我们认為(wèi)属于网络安全的时代已经过去了?

    2022/8/18 10:09:28 人评论

    為(wèi)什么我们认為(wèi)属于网络安全的时代已经过去了?

     

    企业在网络安全方面的投资比以往任何时候都多(duō),但我们也看到了创纪录的违规数量。据报道,去年有(yǒu)51亿多(duō)条个人信息被盗,平均违规成本已攀升至435万美元。

     网络安全威胁行為(wèi)者变善良了吗?或者这是一个商(shāng)业失败?

     不可(kě)否认,网络罪犯已经变得更有(yǒu)组织,更先进的工具和战术越来越容易使用(yòng)。但所有(yǒu)这些数十亿美元没有(yǒu)对违规数量产生影响的真正原因是,资金往往没有(yǒu)以正确的方式使用(yòng)。

     有(yǒu)一个巨大的高质量解决方案市场正在寻找解决网络安全问题的方法,但简单地向它们投入资金最终不会改变安全状况。必须正确实施解决方案才能(néng)真正帮助解决问题。

     这就是安全操作概念的由来。


     将安全性与核心业務(wù)基础联系起来

     每个企业都需要在几个核心业務(wù)的基础上取得成功。

     这包括商(shāng)业文(wén)化——将所有(yǒu)人聚集在一起并使他(tā)们愿意在那里工作的一套价值观——以及每个人对自己的角色所承担的责任。

     然后是业務(wù)运营的流程,以及支持这些流程的资源——所有(yǒu)这些都越来越容易通过自动化实现。最后,所有(yǒu)业務(wù)活动都需要产生可(kě)测量的输出。

     所有(yǒu)这些结合在一起形成了组织的战略,像一颗北极星,它赋予了组织目标并确定了其方向。

     网络安全是一个独特的命题,因為(wèi)它与这些核心基础中的每一个业務(wù)都有(yǒu)联系。最终,除非具备这些要素,否则任何安全战略都不可(kě)能(néng)成功。

     使网络安全符合业務(wù)指标

     实现网络安全的第一步是开始像其他(tā)商(shāng)业投资一样思考网络安全。不幸的是,网络消费几乎是随机的,没有(yǒu)目标。当然,这也意味着对绩效和结果的有(yǒu)效衡量很(hěn)少。

     很(hěn)难想象其他(tā)任何商(shāng)业元素会以这种方式运作,特别是在支出持续增長(cháng)的情况下。

    想象一下,一位销售总监要求将团队人数增加一倍,但一年后这项投资并未带来任何收入增長(cháng)。大多(duō)数公司都会立即让销售总监离开。

     然而,在网络安全方面,大多(duō)数公司将继续向新(xīn)的解决方案投入资金,而不清楚自己的安全状况是否有(yǒu)所改善。事实上,许多(duō)组织缺乏有(yǒu)意义的指标来衡量其投资是否有(yǒu)任何回报。

     因此,衡量的指标必须是安全运作的首要任務(wù)。实现这一目标的指标需要侧重于降低风险。公司需要有(yǒu)一个坚实的概念,知道他(tā)们在為(wèi)每一个安全元素做预算时试图保护什么,以及為(wèi)什么要这样做。

     企业需要确定哪些业務(wù)功能(néng)受到违规行為(wèi)的影响最大,以及此类事件对业務(wù)运营的影响。基于这种理(lǐ)解,企业可(kě)以逆向工作,构建一个安全战略,以缓解这些高优先级风险。

     对于其他(tā)业務(wù)要素,企业知道当其运营中的某个要素明显会亏损时,应调整哪些杠杆。有(yǒu)些风险可(kě)以缓解,有(yǒu)些风险可(kě)以接受,有(yǒu)些风险则可(kě)以转移——同样的思维过程也需要应用(yòng)于网络安全。

     

    企业文(wén)化和问责制是关键

     随着公司对其网络风险优先事项的认识不断提高,他(tā)们也应该熟悉自己的成熟度水平。这不是一个单一的衡量标准,而是适用(yòng)于每一个核心基础——企业文(wén)化、问责制、流程、资源、自动化和衡量。

    企业在一个领域的网络风险应用(yòng)可(kě)能(néng)比另一个领域更成熟。也许它已经建立了成功的自动化,但缺乏问责制。或者反之亦然。

     虽然某些业務(wù)方面更容易定义,但其他(tā)方面则更模糊。在安全方面,文(wén)化往往是一个模糊的概念,在特定的安全角色之外,问责制也往往没有(yǒu)定义。

     这里一个有(yǒu)用(yòng)的方法是在整个组织中建立与安全相关的各种角色,并為(wèi)每个角色创建一个文(wén)化记分(fēn)卡。更重要的利益相关者,如执行领导层,应该具有(yǒu)更高的成熟度水平,而对更一般的员工来说,这并不重要。如果一个部门的成熟度和责任感明显低于您所需的水平,那么是时候开始实施培训等措施来改善情况了。

     适应商(shāng)业文(wén)化从来不是一个快速解决方案,因此企业应该预计这是一个渐进的过程,至少需要12-18个月。

    与此同时,企业可(kě)以开始实施可(kě)靠的指标,以有(yǒu)效跟踪其解决方案的投资回报率(ROI)。安全关键绩效指标(KPI)应以非技术领导层和利益相关者能(néng)够理(lǐ)解的方式与业務(wù)影响紧密相关。

     平均分(fēn)辨时间(MTTR)是最有(yǒu)用(yòng)的例子之一。在网络环境中,这意味着从识别威胁或漏洞到关闭它之间的时间。但它在其他(tā)业務(wù)问题的更广泛背景下也得到了很(hěn)好的理(lǐ)解。

     

    打破网络安全支出循环

     很(hěn)明显,面对同样飞涨的安全风险,飞涨的网络安全支出是不够的。这种方法是不可(kě)持续的——特别是随着业務(wù)技术本身在过去几年中随着云迁移和遠(yuǎn)程工作等因素的迅速变化。

     套用(yòng)爱因斯坦的话:我们不能(néng)用(yòng)我们创造问题时使用(yòng)的那种思维来解决问题。

     企业需要后退一步,开始运营其信息安全性,而不仅仅是再增加一年的预算。是通过追踪网络安全与核心业務(wù)基础的联系,企业可(kě)以开始确保其投资在降低风险敞口方面取得了真正的成效。


    ×