爲什(shén)麽我們認爲屬于網絡安全的時(shí)代已經過去了(le)?
企業在網絡安全方面的投資比以往任何時(shí)候都多,但(dàn)我們也(yě)看(kàn)到(dào)了(le)創紀錄的違規數量。據報(bào)道(dào),去年有51億多條個人信息被盜,平均違規成本已攀升至435萬美(měi)元。
網絡安全威脅行爲者變善良了(le)嗎?或者這(zhè)是一個商業失敗?
不可否認,網絡罪犯已經變得更有組織,更先進的工(gōng)具和(hé)戰術越來(lái)越容易使用(yòng)。但(dàn)所有這(zhè)些(xiē)數十億美(měi)元沒有對(duì)違規數量産生影響的真正原因是,資金(jīn)往往沒有以正确的方式使用(yòng)。
有一個巨大(dà)的高(gāo)質量解決方案市場正在尋找解決網絡安全問題的方法,但(dàn)簡單地向它們投入資金(jīn)最終不會(huì)改變安全狀況。必須正确實施解決方案才能(néng)真正幫助解決問題。
這(zhè)就是安全操作(zuò)概念的由來(lái)。
将安全性與核心業務基礎聯系起來(lái)
每個企業都需要在幾個核心業務的基礎上(shàng)取得成功。
這(zhè)包括商業文(wén)化——将所有人聚集在一起并使他(tā)們願意在那裏工(gōng)作(zuò)的一套價值觀——以及每個人對(duì)自(zì)己的角色所承擔的責任。
然後是業務運營的流程,以及支持這(zhè)些(xiē)流程的資源——所有這(zhè)些(xiē)都越來(lái)越容易通過自(zì)動化實現(xiàn)。最後,所有業務活動都需要産生可測量的輸出。
所有這(zhè)些(xiē)結合在一起形成了(le)組織的戰略,像一顆北極星,它賦予了(le)組織目标并确定了(le)其方向。
網絡安全是一個獨特的命題,因爲它與這(zhè)些(xiē)核心基礎中的每一個業務都有聯系。最終,除非具備這(zhè)些(xiē)要素,否則任何安全戰略都不可能(néng)成功。
使網絡安全符合業務指标
實現(xiàn)網絡安全的第一步是開(kāi)始像其他(tā)商業投資一樣思考網絡安全。不幸的是,網絡消費幾乎是随機的,沒有目标。當然,這(zhè)也(yě)意味着對(duì)績效和(hé)結果的有效衡量很(hěn)少。
很(hěn)難想象其他(tā)任何商業元素會(huì)以這(zhè)種方式運作(zuò),特别是在支出持續增長的情況下(xià)。
想象一下(xià),一位銷售總監要求将團隊人數增加一倍,但(dàn)一年後這(zhè)項投資并未帶來(lái)任何收入增長。大(dà)多數公司都會(huì)立即讓銷售總監離開(kāi)。
然而,在網絡安全方面,大(dà)多數公司将繼續向新的解決方案投入資金(jīn),而不清楚自(zì)己的安全狀況是否有所改善。事(shì)實上(shàng),許多組織缺乏有意義的指标來(lái)衡量其投資是否有任何回報(bào)。
因此,衡量的指标必須是安全運作(zuò)的首要任務。實現(xiàn)這(zhè)一目标的指标需要側重于降低(dī)風(fēng)險。公司需要有一個堅實的概念,知(zhī)道(dào)他(tā)們在爲每一個安全元素做預算(suàn)時(shí)試圖保護什(shén)麽,以及爲什(shén)麽要這(zhè)樣做。
企業需要确定哪些(xiē)業務功能(néng)受到(dào)違規行爲的影響最大(dà),以及此類事(shì)件對(duì)業務運營的影響。基于這(zhè)種理(lǐ)解,企業可以逆向工(gōng)作(zuò),構建一個安全戰略,以緩解這(zhè)些(xiē)高(gāo)優先級風(fēng)險。
對(duì)于其他(tā)業務要素,企業知(zhī)道(dào)當其運營中的某個要素明(míng)顯會(huì)虧損時(shí),應調整哪些(xiē)杠杆。有些(xiē)風(fēng)險可以緩解,有些(xiē)風(fēng)險可以接受,有些(xiē)風(fēng)險則可以轉移——同樣的思維過程也(yě)需要應用(yòng)于網絡安全。
企業文(wén)化和(hé)問責制是關鍵
随着公司對(duì)其網絡風(fēng)險優先事(shì)項的認識不斷提高(gāo),他(tā)們也(yě)應該熟悉自(zì)己的成熟度水(shuǐ)平。這(zhè)不是一個單一的衡量标準,而是适用(yòng)于每一個核心基礎——企業文(wén)化、問責制、流程、資源、自(zì)動化和(hé)衡量。
企業在一個領域的網絡風(fēng)險應用(yòng)可能(néng)比另一個領域更成熟。也(yě)許它已經建立了(le)成功的自(zì)動化,但(dàn)缺乏問責制。或者反之亦然。
雖然某些(xiē)業務方面更容易定義,但(dàn)其他(tā)方面則更模糊。在安全方面,文(wén)化往往是一個模糊的概念,在特定的安全角色之外(wài),問責制也(yě)往往沒有定義。
這(zhè)裏一個有用(yòng)的方法是在整個組織中建立與安全相關的各種角色,并爲每個角色創建一個文(wén)化記分卡。更重要的利益相關者,如執行領導層,應該具有更高(gāo)的成熟度水(shuǐ)平,而對(duì)更一般的員工(gōng)來(lái)說,這(zhè)并不重要。如果一個部門(mén)的成熟度和(hé)責任感明(míng)顯低(dī)于您所需的水(shuǐ)平,那麽是時(shí)候開(kāi)始實施培訓等措施來(lái)改善情況了(le)。
适應商業文(wén)化從(cóng)來(lái)不是一個快(kuài)速解決方案,因此企業應該預計(jì)這(zhè)是一個漸進的過程,至少需要12-18個月。
與此同時(shí),企業可以開(kāi)始實施可靠的指标,以有效跟蹤其解決方案的投資回報(bào)率(ROI)。安全關鍵績效指标(KPI)應以非技術領導層和(hé)利益相關者能(néng)夠理(lǐ)解的方式與業務影響緊密相關。
平均分辨時(shí)間(MTTR)是最有用(yòng)的例子之一。在網絡環境中,這(zhè)意味着從(cóng)識别威脅或漏洞到(dào)關閉它之間的時(shí)間。但(dàn)它在其他(tā)業務問題的更廣泛背景下(xià)也(yě)得到(dào)了(le)很(hěn)好(hǎo)的理(lǐ)解。
打破網絡安全支出循環
很(hěn)明(míng)顯,面對(duì)同樣飛(fēi)漲的安全風(fēng)險,飛(fēi)漲的網絡安全支出是不夠的。這(zhè)種方法是不可持續的——特别是随着業務技術本身在過去幾年中随着雲遷移和(hé)遠程工(gōng)作(zuò)等因素的迅速變化。
套用(yòng)愛因斯坦的話(huà):我們不能(néng)用(yòng)我們創造問題時(shí)使用(yòng)的那種思維來(lái)解決問題。
企業需要後退一步,開(kāi)始運營其信息安全性,而不僅僅是再增加一年的預算(suàn)。是通過追蹤網絡安全與核心業務基礎的聯系,企業可以開(kāi)始确保其投資在降低(dī)風(fēng)險敞口方面取得了(le)真正的成效。
上(shàng)一篇:一體式壓鑄引領車身制造變革,IPguard助力壓鑄機制造企業保護機密安
下(xià)一篇:SonicWall 發布兩款SonicWave 600系列無線接入點設備