爲什麼(me)我們認爲屬于網絡安全的時代已經(jīng)過(guò)去了?
企業在網絡安全方面(miàn)的投資比以往任何時候都(dōu)多,但我們也看到了創紀錄的違規數量。據報道(dào),去年有51億多條個人信息被(bèi)盜,平均違規成(chéng)本已攀升至435萬美元。
網絡安全威脅行爲者變善良了嗎?或者這(zhè)是一個商業失敗?
不可否認,網絡罪犯已經(jīng)變得更有組織,更先進(jìn)的工具和戰術越來越容易使用。但所有這(zhè)些數十億美元沒(méi)有對(duì)違規數量産生影響的真正原因是,資金往往沒(méi)有以正确的方式使用。
有一個巨大的高質量解決方案市場正在尋找解決網絡安全問題的方法,但簡單地向(xiàng)它們投入資金最終不會改變安全狀況。必須正确實施解決方案才能(néng)真正幫助解決問題。
這(zhè)就是安全操作概念的由來。
將(jiāng)安全性與核心業務基礎聯系起(qǐ)來
每個企業都(dōu)需要在幾個核心業務的基礎上取得成(chéng)功。
這(zhè)包括商業文化——將(jiāng)所有人聚集在一起(qǐ)并使他們願意在那裡(lǐ)工作的一套價值觀——以及每個人對(duì)自己的角色所承擔的責任。
然後(hòu)是業務運營的流程,以及支持這(zhè)些流程的資源——所有這(zhè)些都(dōu)越來越容易通過(guò)自動化實現。最後(hòu),所有業務活動都(dōu)需要産生可測量的輸出。
所有這(zhè)些結合在一起(qǐ)形成(chéng)了組織的戰略,像一顆北極星,它賦予了組織目标并确定了其方向(xiàng)。
網絡安全是一個獨特的命題,因爲它與這(zhè)些核心基礎中的每一個業務都(dōu)有聯系。最終,除非具備這(zhè)些要素,否則任何安全戰略都(dōu)不可能(néng)成(chéng)功。
使網絡安全符合業務指标
實現網絡安全的第一步是開(kāi)始像其他商業投資一樣(yàng)思考網絡安全。不幸的是,網絡消費幾乎是随機的,沒(méi)有目标。當然,這(zhè)也意味著(zhe)對(duì)績效和結果的有效衡量很少。
很難想象其他任何商業元素會以這(zhè)種(zhǒng)方式運作,特别是在支出持續增長(cháng)的情況下。
想象一下,一位銷售總監要求將(jiāng)團隊人數增加一倍,但一年後(hòu)這(zhè)項投資并未帶來任何收入增長(cháng)。大多數公司都(dōu)會立即讓銷售總監離開(kāi)。
然而,在網絡安全方面(miàn),大多數公司將(jiāng)繼續向(xiàng)新的解決方案投入資金,而不清楚自己的安全狀況是否有所改善。事(shì)實上,許多組織缺乏有意義的指标來衡量其投資是否有任何回報。
因此,衡量的指标必須是安全運作的首要任務。實現這(zhè)一目标的指标需要側重于降低風險。公司需要有一個堅實的概念,知道(dào)他們在爲每一個安全元素做預算時試圖保護什麼(me),以及爲什麼(me)要這(zhè)樣(yàng)做。
企業需要确定哪些業務功能(néng)受到違規行爲的影響最大,以及此類事(shì)件對(duì)業務運營的影響。基于這(zhè)種(zhǒng)理解,企業可以逆向(xiàng)工作,構建一個安全戰略,以緩解這(zhè)些高優先級風險。
對(duì)于其他業務要素,企業知道(dào)當其運營中的某個要素明顯會虧損時,應調整哪些杠杆。有些風險可以緩解,有些風險可以接受,有些風險則可以轉移——同樣(yàng)的思維過(guò)程也需要應用于網絡安全。
企業文化和問責制是關鍵
随著(zhe)公司對(duì)其網絡風險優先事(shì)項的認識不斷提高,他們也應該熟悉自己的成(chéng)熟度水平。這(zhè)不是一個單一的衡量标準,而是适用于每一個核心基礎——企業文化、問責制、流程、資源、自動化和衡量。
企業在一個領域的網絡風險應用可能(néng)比另一個領域更成(chéng)熟。也許它已經(jīng)建立了成(chéng)功的自動化,但缺乏問責制。或者反之亦然。
雖然某些業務方面(miàn)更容易定義,但其他方面(miàn)則更模糊。在安全方面(miàn),文化往往是一個模糊的概念,在特定的安全角色之外,問責制也往往沒(méi)有定義。
這(zhè)裡(lǐ)一個有用的方法是在整個組織中建立與安全相關的各種(zhǒng)角色,并爲每個角色創建一個文化記分卡。更重要的利益相關者,如執行領導層,應該具有更高的成(chéng)熟度水平,而對(duì)更一般的員工來說,這(zhè)并不重要。如果一個部門的成(chéng)熟度和責任感明顯低于您所需的水平,那麼(me)是時候開(kāi)始實施培訓等措施來改善情況了。
适應商業文化從來不是一個快速解決方案,因此企業應該預計這(zhè)是一個漸進(jìn)的過(guò)程,至少需要12-18個月。
與此同時,企業可以開(kāi)始實施可靠的指标,以有效跟蹤其解決方案的投資回報率(ROI)。安全關鍵績效指标(KPI)應以非技術領導層和利益相關者能(néng)夠理解的方式與業務影響緊密相關。
平均分辨時間(MTTR)是最有用的例子之一。在網絡環境中,這(zhè)意味著(zhe)從識别威脅或漏洞到關閉它之間的時間。但它在其他業務問題的更廣泛背景下也得到了很好(hǎo)的理解。
打破網絡安全支出循環
很明顯,面(miàn)對(duì)同樣(yàng)飛漲的安全風險,飛漲的網絡安全支出是不夠的。這(zhè)種(zhǒng)方法是不可持續的——特别是随著(zhe)業務技術本身在過(guò)去幾年中随著(zhe)雲遷移和遠程工作等因素的迅速變化。
套用愛因斯坦的話:我們不能(néng)用我們創造問題時使用的那種(zhǒng)思維來解決問題。
企業需要後(hòu)退一步,開(kāi)始運營其信息安全性,而不僅僅是再增加一年的預算。是通過(guò)追蹤網絡安全與核心業務基礎的聯系,企業可以開(kāi)始确保其投資在降低風險敞口方面(miàn)取得了真正的成(chéng)效。