技術研究和咨詢公司ISG網絡安全部門聯席主管羅杰·阿爾布雷希特表示,通過持續的討論解決網絡安全問題的價值在于,讓企業在有效和穩健的戰略上保持一致。
“這樣的討論確保將網絡安全倡議和資源需求整合到企業的業務目標中。”他補充道。這些討論解決了不斷變化的監管和合規問題,并揭示了風險緩解方面的漏洞和威脅。
Albrecht說,正在進行的IT安全戰略對話應該降低企業的網絡風險,并實現戰略目標。“這樣的對話,應該以明確的行動、好處、時間表以及彌補差距所需的預算和資源來結束。
對于希望建立更強大的網絡安全戰略的IT領導者來說,以下7個問題是你應該與高管同事、業務合作伙伴和IT員工進行深入網絡安全戰略對話的關鍵提示。
1.我們的系統是否在安全方面有足夠的現代化?
谷歌云CISOPhilVenables表示,企業應該討論如何對其技術基礎設施進行現代化改造,以支持內置安全而不是簡單地連接的體系結構。
遺留系統通常存在固有缺陷,因為它們的設計不像更現代的體系結構——通常是公有云或私有云——那樣具有防御性。Venables觀察到,在過去10年中,有許多案例表明,企業在網絡安全產品上進行了大量投資,但尚未升級其整體IT基礎設施或實現軟件開發方法的現代化。
“這相當于在沙子上蓋房子。”他說。如果不繼續關注和投資于IT現代化,企業將無法充分實現安全進步的好處,從而使其企業容易受到惡意活動的攻擊。
Venables建議,現代化對話應在董事會會議室、高管領導層會議和業務部門特定戰略會議中舉行。
“歸根結底,只要在正確的利益相關者之間進行討論,并啟動路線圖,企業就會為成功做好準備。”他說。
2.我們是否在應對網絡場景時達到了我們應該達到的程度?
管理咨詢公司艾斯納咨詢集團(EisnerConsultingGroup)合伙人兼外包IT服務主管拉胡爾·馬納(RahulMahna)認為,與團隊和管理同事一起玩情景游戲可以刺激有用的安全洞察。
例如,如果一個關鍵客戶的業務因網絡攻擊而關閉,會發生什么?下一步會是什么?“這種類型的事件響應計劃在我們的客戶對話中非常有價值,”Mahna解釋說。他建議,這樣的安全戰略對話不應該是偶爾的、一次性的討論,而應該是一系列持續的、定期的對話。
除了定期對話,Mahna建議每年舉行一次以安全為重點的會議,并結合事件響應計劃測試,使主要高管和經理了解不斷發展的政策、實踐和角色的最新情況。
Mahna建議說,計劃在網絡攻擊發生時應該做什么是一項極其寶貴的資產,應該在運行手冊中進行實質性的限定和量化。“這本書應該被共享,并提供給指定的安全團隊成員,以提供一條途徑,以便在發生安全漏洞時,能夠成功地執行經過深思熟慮的應對計劃。”
3.我們是否培養了一種安全文化?
亞馬遜網絡服務全球安全合作伙伴主管瑞安·奧爾西(RyanOrsi)表示,領導者為他們企業的IT安全戰略定下了基調。在一種安全文化中,每個員工都感覺自己有權在經過批準的安全護欄內快速移動,從而帶來更快的創新周期、更快的業務成果以及更高的最終客戶滿意度。
Orsi說,激勵個人在定義明確的安全護欄內創新和快速行動的企業是最有效的。如果你覺得你的企業在發布應用程序更新、網站更新和數據庫更改等項目之前打開票證請求安全團隊批準,那么你可能就沒有在安全文化中運營。“通過將安全文化融入整個領導層,你很可能會感受到不同。”
4.我們對新出現的威脅評估是否真的是最新的?
網絡罪犯從不睡覺;他們總是放縱和腐敗。商業管理咨詢公司摩根·富蘭克林咨詢公司的高級經理格里芬·阿什金建議:“在IT安全戰略方面,必須就網絡威脅的新性質進行非常直接的對話。”
阿什金警告說,最近的經驗表明,網絡罪犯現在正在超越勒索軟件,進入網絡勒索。他們威脅要向外界公布企業員工的個人身份信息(PII),使員工面臨身份被盜的巨大風險。
阿什金認為,安全領導者應該努力重新部署盡可能多的本地基礎設施資源,從而將網絡保護責任轉移到云提供商身上。此外,定期安排的管理層對話應導致關鍵決策,例如對增強的安全工具的潛在投資、更新的安全意識培訓材料、與最終用戶的更多溝通以提高對最新安全威脅的認識,以及應對和降低員工風險所需的任何其他相關步驟。
5.我們是否制定了真正有效的事件響應計劃?
網絡安全公司CamelotSecure的解決方案工程總監扎卡里·福克(ZacharyFolk)建議,每個企業都需要舉行一次聚焦于事件響應的對話。
Folk說,規劃至關重要。討論應包括企業的執行人員,包括CIO、CISO、CTO、事故應對小組協調員和所有部門負責人。他建議,這些會議和對話應該導致制定或更新事件應對計劃。討論還應審查關鍵任務資產和優先事項,評估攻擊的可能影響,并確定最有可能的攻擊威脅。
Folk說,通過將企業的風險管理方法從基于矩陣的測量(高、中或低)改為量化的風險降低,你可以根據需要將實際的潛在影響建立在盡可能多的變量上。通過使用簡單的蒙特卡羅模擬和從你的企業收集的數據,你可以為高級員工提供實際的損失、潛在發生和影響的概率。
6.我們的安全投資是否實現了最大投資回報?
IT資產可見性和網絡安全公司Sevco的CSO布萊恩·康托斯表示,是時候停止逃避安全ROI對話了。他指出,企業在CMDB、SIEM、SOAR、EDR、漏洞管理和相關解決方案方面投入了大量資金。
“為了實現這些解決方案的價值,企業需要確保流入它們的信息(如資產情報)是及時、準確和經過重復數據消除的,”他說。企業級安全解決方案中強大的資產智能不僅能幫助你更好地降低風險,還能提高這些投資的投資回報率。
Contos說,ROI對話應該會導致安全、IT運營和GRC(治理、風險和合規性)團隊更好地了解他們的環境。它應該專注于所有好的和不好的東西,同時確定需要最快速改進的領域。然后,可以將優先行動分配給適當的團隊,以處理許可、流程改進、漏洞查找、安全控制可見性和監管要求等主題。
“最終,當利用資產情報來豐富專注于安全、IT運營和GRC的現有工具的有效性時,應將降低風險和最大化ROI結合起來。”他建議說。
7.我們的財務風險究竟有多大?
也許最關鍵的IT安全戰略對話集中于回答一個問題:“如果我們的IT系統出現故障,我們的客戶將面臨什么經濟損失?”
這些討論的目標應該是建立一個安全、健壯和有彈性的IT環境,一個客戶可以確保保持正常運行的環境,允許產品和服務不間斷地交付,托管服務和IT戰略公司BlueMantis的現場CISO羅布·菲茨杰拉德說。
菲茨杰拉德建議,這種對話應該不少于每年一次,最好是在預算季節之前進行,這樣CIO和CISO就可以相應地制定計劃。他說,如果發生任何影響業務的重大事件,也需要在這些時間段進行對話。例如,如果一個企業打算出售一個部門或收購另一個企業,CIO和CFO有信托義務重新評估客戶在企業的IT系統不可用時將面臨的財務損失。
