爲什麽我(wǒ)們認爲屬于網絡安全的時代已經過去(qù)了?

    2022/8/18 10:09:28 人評論

    爲什麽我(wǒ)們認爲屬于網絡安全的時代已經過去(qù)了?

     

    企業在網絡安全方面的投資(zī)比以往任何時候都多,但我(wǒ)們也看到了創紀錄的違規數量。據報道,去(qù)年有51億多條個人信息被盜,平均違規成本已攀升至435萬美元。

     網絡安全威脅行爲者變善良了嗎(ma)?或者這是一(yī)個商(shāng)業失敗?

     不可否認,網絡罪犯已經變得更有組織,更先進的工(gōng)具和戰術越來越容易使用。但所有這些數十億美元沒有對違規數量産生(shēng)影響的真正原因是,資(zī)金往往沒有以正确的方式使用。

     有一(yī)個巨大(dà)的高質量解決方案市場正在尋找解決網絡安全問題的方法,但簡單地向它們投入資(zī)金最終不會改變安全狀況。必須正确實施解決方案才能真正幫助解決問題。

     這就是安全操作概念的由來。


     将安全性與核心業務基礎聯系起來

     每個企業都需要在幾個核心業務的基礎上取得成功。

     這包括商(shāng)業文化——将所有人聚集在一(yī)起并使他們願意在那裏工(gōng)作的一(yī)套價值觀——以及每個人對自己的角色所承擔的責任。

     然後是業務運營的流程,以及支持這些流程的資(zī)源——所有這些都越來越容易通過自動化實現。最後,所有業務活動都需要産生(shēng)可測量的輸出。

     所有這些結合在一(yī)起形成了組織的戰略,像一(yī)顆北(běi)極星,它賦予了組織目标并确定了其方向。

     網絡安全是一(yī)個獨特的命題,因爲它與這些核心基礎中(zhōng)的每一(yī)個業務都有聯系。最終,除非具備這些要素,否則任何安全戰略都不可能成功。

     使網絡安全符合業務指标

     實現網絡安全的第一(yī)步是開(kāi)始像其他商(shāng)業投資(zī)一(yī)樣思考網絡安全。不幸的是,網絡消費(fèi)幾乎是随機的,沒有目标。當然,這也意味着對績效和結果的有效衡量很少。

     很難想象其他任何商(shāng)業元素會以這種方式運作,特别是在支出持續增長的情況下(xià)。

    想象一(yī)下(xià),一(yī)位銷售總監要求将團隊人數增加一(yī)倍,但一(yī)年後這項投資(zī)并未帶來任何收入增長。大(dà)多數公司都會立即讓銷售總監離(lí)開(kāi)。

     然而,在網絡安全方面,大(dà)多數公司将繼續向新的解決方案投入資(zī)金,而不清楚自己的安全狀況是否有所改善。事實上,許多組織缺乏有意義的指标來衡量其投資(zī)是否有任何回報。

     因此,衡量的指标必須是安全運作的首要任務。實現這一(yī)目标的指标需要側重于降低風險。公司需要有一(yī)個堅實的概念,知(zhī)道他們在爲每一(yī)個安全元素做預算時試圖保護什麽,以及爲什麽要這樣做。

     企業需要确定哪些業務功能受到違規行爲的影響最大(dà),以及此類事件對業務運營的影響。基于這種理解,企業可以逆向工(gōng)作,構建一(yī)個安全戰略,以緩解這些高優先級風險。

     對于其他業務要素,企業知(zhī)道當其運營中(zhōng)的某個要素明顯會虧損時,應調整哪些杠杆。有些風險可以緩解,有些風險可以接受,有些風險則可以轉移——同樣的思維過程也需要應用于網絡安全。

     

    企業文化和問責制是關鍵

     随着公司對其網絡風險優先事項的認識不斷提高,他們也應該熟悉自己的成熟度水平。這不是一(yī)個單一(yī)的衡量标準,而是适用于每一(yī)個核心基礎——企業文化、問責制、流程、資(zī)源、自動化和衡量。

    企業在一(yī)個領域的網絡風險應用可能比另一(yī)個領域更成熟。也許它已經建立了成功的自動化,但缺乏問責制。或者反之亦然。

     雖然某些業務方面更容易定義,但其他方面則更模糊。在安全方面,文化往往是一(yī)個模糊的概念,在特定的安全角色之外(wài),問責制也往往沒有定義。

     這裏一(yī)個有用的方法是在整個組織中(zhōng)建立與安全相關的各種角色,并爲每個角色創建一(yī)個文化記分(fēn)卡。更重要的利益相關者,如執行領導層,應該具有更高的成熟度水平,而對更一(yī)般的員(yuán)工(gōng)來說,這并不重要。如果一(yī)個部門的成熟度和責任感明顯低于您所需的水平,那麽是時候開(kāi)始實施培訓等措施來改善情況了。

     适應商(shāng)業文化從來不是一(yī)個快速解決方案,因此企業應該預計這是一(yī)個漸進的過程,至少需要12-18個月。

    與此同時,企業可以開(kāi)始實施可靠的指标,以有效跟蹤其解決方案的投資(zī)回報率(ROI)。安全關鍵績效指标(KPI)應以非技術領導層和利益相關者能夠理解的方式與業務影響緊密相關。

     平均分(fēn)辨時間(MTTR)是最有用的例子之一(yī)。在網絡環境中(zhōng),這意味着從識别威脅或漏洞到關閉它之間的時間。但它在其他業務問題的更廣泛背景下(xià)也得到了很好的理解。

     

    打破網絡安全支出循環

     很明顯,面對同樣飛漲的安全風險,飛漲的網絡安全支出是不夠的。這種方法是不可持續的——特别是随着業務技術本身在過去(qù)幾年中(zhōng)随着雲遷移和遠程工(gōng)作等因素的迅速變化。

     套用愛因斯坦的話(huà):我(wǒ)們不能用我(wǒ)們創造問題時使用的那種思維來解決問題。

     企業需要後退一(yī)步,開(kāi)始運營其信息安全性,而不僅僅是再增加一(yī)年的預算。是通過追蹤網絡安全與核心業務基礎的聯系,企業可以開(kāi)始确保其投資(zī)在降低風險敞口方面取得了真正的成效。


    相關新聞

    ×