业务经理想要得到实时网络风险管理指标,但网络安全团队只能交付技术数据和阶段性报告。这中间的空白需要得到填补。
几年前,网络安全人员常常哀叹经理们根本不想要真正的安全,他们只想要“够好”的安全。这种说法反映出很多CEO都将网络安全等同于合规。他们似乎认为,只要CISO能够搞定PCI、HIPAA或SOX合规,网络安全问题就得到了解决。
那种只求“够好”的安全态度受到了网络安全人员的反感。想要好好保护企业资产的CISO们渴求业务高管能够真正理解网络风险,并愿意积极参与和大力支持网络风险管理工作。
但俗话说得好,人心不足蛇吞象:2019年,业务高管们全都参与了进来,结果却是给网络安全团队制造了大麻烦。
企业战略集团(ESG)最近刚刚对340位网络安全、IT和风险人员做了关于网络风险管理方面的调查。受访者需指出对业务高管和企业董事来说最重要的网络风险指标。票选出来的四大业务面重点反映出业务需求与技术能力上的巨大鸿沟。
- 39%的受访者想要与主要业务和IT项目有关的安全状态报告。换句话说,他们想要了解与端到端业务过程相关的网络风险,而不是具体的 Windows PC、DNS服务器或软件漏洞。网络安全团队需更好地将极客数据翻译成业务指标。
- 36%的受访者想要知道与IT审计相关的状态及响应。这不是什么新要求。但业务人员想要的不仅仅是断断续续的报告,他们想要的是能够指导及时风险缓解决策的常态化更新。为满足这一需求,CISO必须努力实现持续风险管理分析。
- 36%的受访者想要针对与其他数据相关的环境漏洞的报告。没错,业务人员关注有漏洞的资产,但他们真的不想看到满是软件漏洞细节的报告。他们更想了解任务关键资产是否容易遭到已知漏洞利用的攻击,以便能够重点安排诸如系统修复、流量分隔、访问限制等缓解措施。换句话说,网络安全团队的漏洞报告应重质量而不是数量。
- 35%的受访者想要更具体的安全开支投资回报。ESG的其他研究显示,58%的公司企业计划在2019年增加网络安全开支。很明显,高管们愿意支持网络安全项目,但他们同时也想更加了解自己花出去的钱都有些什么回报。安全开支投资回报的计算并不容易,但CISO必须设法将网络安全开支以业务、人力资源和技术术语表述清楚,让公司企业能够据此调整预算,在恰当的时候把钱用在正确的地方。
业务高管很怕自己公司被挂上下一个数据泄露新闻头条,所以他们比以往更愿意加强网络安全投资,以确保这种事情不会发生。他们从安全团队得到的回报是什么呢?算表和及时的指标,以便能够实时调整风险管理策略。但遗憾的是,大多数CISO(和首席风险官)并没有能够满足这一需求的过程和指标。
CISO需带着业务思维与高管团队合作,以成本有效的方式在恰当的时间保护正确的资产。
这一网络风险管理上的空白代表着需立即加以关注的重要问题。CISO必须采纳新的工具和网络风险管理方法论,比如信息风险因素分析(FAIR)。鉴于很多网络安全经理并不具备合适的技术或资源,他们或许会想借助 Unisys TrustCheck 之类网络风险管理服务的帮忙。
无论如何,CISO必须尽快转换思路。只要不确定自己的投资是有效还是打水漂,业务高管就不会继续往网络安全上砸钱。CISO需带着业务思维与高管团队合作,以成本有效的方式在恰当的时间保护正确的资产。
本文来源:freebuf
发表评论: