為(wèi)什麽我們認為(wèi)屬于網絡安(ān)全的時代已經過去了?

    2022/8/18 10:09:28 人評論

    為(wèi)什麽我們認為(wèi)屬于網絡安(ān)全的時代已經過去了?

     

    企業在網絡安(ān)全方面的投資比以往任何時候都多(duō),但我們也看到了創紀錄的違規數量。據報道,去年有(yǒu)51億多(duō)條個人信息被盜,平均違規成本已攀升至435萬美元。

     網絡安(ān)全威脅行為(wèi)者變善良了嗎?或者這是一個商(shāng)業失敗?

     不可(kě)否認,網絡罪犯已經變得更有(yǒu)組織,更先進的工(gōng)具(jù)和戰術越來越容易使用(yòng)。但所有(yǒu)這些數十億美元沒有(yǒu)對違規數量産(chǎn)生影響的真正原因是,資金往往沒有(yǒu)以正确的方式使用(yòng)。

     有(yǒu)一個巨大的高質(zhì)量解決方案市場正在尋找解決網絡安(ān)全問題的方法,但簡單地向它們投入資金最終不會改變安(ān)全狀況。必須正确實施解決方案才能(néng)真正幫助解決問題。

     這就是安(ān)全操作(zuò)概念的由來。


     将安(ān)全性與核心業務(wù)基礎聯系起來

     每個企業都需要在幾個核心業務(wù)的基礎上取得成功。

     這包括商(shāng)業文(wén)化——将所有(yǒu)人聚集在一起并使他(tā)們願意在那裏工(gōng)作(zuò)的一套價值觀——以及每個人對自己的角色所承擔的責任。

     然後是業務(wù)運營的流程,以及支持這些流程的資源——所有(yǒu)這些都越來越容易通過自動化實現。最後,所有(yǒu)業務(wù)活動都需要産(chǎn)生可(kě)測量的輸出。

     所有(yǒu)這些結合在一起形成了組織的戰略,像一顆北極星,它賦予了組織目标并确定了其方向。

     網絡安(ān)全是一個獨特的命題,因為(wèi)它與這些核心基礎中(zhōng)的每一個業務(wù)都有(yǒu)聯系。最終,除非具(jù)備這些要素,否則任何安(ān)全戰略都不可(kě)能(néng)成功。

     使網絡安(ān)全符合業務(wù)指标

     實現網絡安(ān)全的第一步是開始像其他(tā)商(shāng)業投資一樣思考網絡安(ān)全。不幸的是,網絡消費幾乎是随機的,沒有(yǒu)目标。當然,這也意味着對績效和結果的有(yǒu)效衡量很(hěn)少。

     很(hěn)難想象其他(tā)任何商(shāng)業元素會以這種方式運作(zuò),特别是在支出持續增長(cháng)的情況下。

    想象一下,一位銷售總監要求将團隊人數增加一倍,但一年後這項投資并未帶來任何收入增長(cháng)。大多(duō)數公(gōng)司都會立即讓銷售總監離開。

     然而,在網絡安(ān)全方面,大多(duō)數公(gōng)司将繼續向新(xīn)的解決方案投入資金,而不清楚自己的安(ān)全狀況是否有(yǒu)所改善。事實上,許多(duō)組織缺乏有(yǒu)意義的指标來衡量其投資是否有(yǒu)任何回報。

     因此,衡量的指标必須是安(ān)全運作(zuò)的首要任務(wù)。實現這一目标的指标需要側重于降低風險。公(gōng)司需要有(yǒu)一個堅實的概念,知道他(tā)們在為(wèi)每一個安(ān)全元素做預算時試圖保護什麽,以及為(wèi)什麽要這樣做。

     企業需要确定哪些業務(wù)功能(néng)受到違規行為(wèi)的影響最大,以及此類事件對業務(wù)運營的影響。基于這種理(lǐ)解,企業可(kě)以逆向工(gōng)作(zuò),構建一個安(ān)全戰略,以緩解這些高優先級風險。

     對于其他(tā)業務(wù)要素,企業知道當其運營中(zhōng)的某個要素明顯會虧損時,應調整哪些杠杆。有(yǒu)些風險可(kě)以緩解,有(yǒu)些風險可(kě)以接受,有(yǒu)些風險則可(kě)以轉移——同樣的思維過程也需要應用(yòng)于網絡安(ān)全。

     

    企業文(wén)化和問責制是關鍵

     随着公(gōng)司對其網絡風險優先事項的認識不斷提高,他(tā)們也應該熟悉自己的成熟度水平。這不是一個單一的衡量标準,而是适用(yòng)于每一個核心基礎——企業文(wén)化、問責制、流程、資源、自動化和衡量。

    企業在一個領域的網絡風險應用(yòng)可(kě)能(néng)比另一個領域更成熟。也許它已經建立了成功的自動化,但缺乏問責制。或者反之亦然。

     雖然某些業務(wù)方面更容易定義,但其他(tā)方面則更模糊。在安(ān)全方面,文(wén)化往往是一個模糊的概念,在特定的安(ān)全角色之外,問責制也往往沒有(yǒu)定義。

     這裏一個有(yǒu)用(yòng)的方法是在整個組織中(zhōng)建立與安(ān)全相關的各種角色,并為(wèi)每個角色創建一個文(wén)化記分(fēn)卡。更重要的利益相關者,如執行領導層,應該具(jù)有(yǒu)更高的成熟度水平,而對更一般的員工(gōng)來說,這并不重要。如果一個部門的成熟度和責任感明顯低于您所需的水平,那麽是時候開始實施培訓等措施來改善情況了。

     适應商(shāng)業文(wén)化從來不是一個快速解決方案,因此企業應該預計這是一個漸進的過程,至少需要12-18個月。

    與此同時,企業可(kě)以開始實施可(kě)靠的指标,以有(yǒu)效跟蹤其解決方案的投資回報率(ROI)。安(ān)全關鍵績效指标(KPI)應以非技(jì )術領導層和利益相關者能(néng)夠理(lǐ)解的方式與業務(wù)影響緊密相關。

     平均分(fēn)辨時間(MTTR)是最有(yǒu)用(yòng)的例子之一。在網絡環境中(zhōng),這意味着從識别威脅或漏洞到關閉它之間的時間。但它在其他(tā)業務(wù)問題的更廣泛背景下也得到了很(hěn)好的理(lǐ)解。

     

    打破網絡安(ān)全支出循環

     很(hěn)明顯,面對同樣飛漲的安(ān)全風險,飛漲的網絡安(ān)全支出是不夠的。這種方法是不可(kě)持續的——特别是随着業務(wù)技(jì )術本身在過去幾年中(zhōng)随着雲遷移和遠(yuǎn)程工(gōng)作(zuò)等因素的迅速變化。

     套用(yòng)愛因斯坦的話:我們不能(néng)用(yòng)我們創造問題時使用(yòng)的那種思維來解決問題。

     企業需要後退一步,開始運營其信息安(ān)全性,而不僅僅是再增加一年的預算。是通過追蹤網絡安(ān)全與核心業務(wù)基礎的聯系,企業可(kě)以開始确保其投資在降低風險敞口方面取得了真正的成效。


    ×