爲什(shén)麽我們認爲屬于網絡安全的時(shí)代已經過去了(le)？

企業在網絡安全方面的投資比以往任何時(shí)候都多，但(dàn)我們也(yě)看(kàn)到(dào)了(le)創紀錄的違規數量。據報(bào)道(dào)，去年有51億多條個人信息被盜，平均違規成本已攀升至435萬美(měi)元。

 網絡安全威脅行爲者變善良了(le)嗎？或者這(zhè)是一個商業失敗？

 不可否認，網絡罪犯已經變得更有組織，更先進的工(gōng)具和(hé)戰術越來(lái)越容易使用(yòng)。但(dàn)所有這(zhè)些(xiē)數十億美(měi)元沒有對(duì)違規數量産生影響的真正原因是，資金(jīn)往往沒有以正确的方式使用(yòng)。

 有一個巨大(dà)的高(gāo)質量解決方案市場正在尋找解決網絡安全問題的方法，但(dàn)簡單地向它們投入資金(jīn)最終不會(huì)改變安全狀況。必須正确實施解決方案才能(néng)真正幫助解決問題。

 這(zhè)就是安全操作(zuò)概念的由來(lái)。

 将安全性與核心業務基礎聯系起來(lái)

 每個企業都需要在幾個核心業務的基礎上(shàng)取得成功。

 這(zhè)包括商業文(wén)化——将所有人聚集在一起并使他(tā)們願意在那裏工(gōng)作(zuò)的一套價值觀——以及每個人對(duì)自(zì)己的角色所承擔的責任。

 然後是業務運營的流程，以及支持這(zhè)些(xiē)流程的資源——所有這(zhè)些(xiē)都越來(lái)越容易通過自(zì)動化實現(xiàn)。最後，所有業務活動都需要産生可測量的輸出。

 所有這(zhè)些(xiē)結合在一起形成了(le)組織的戰略，像一顆北極星，它賦予了(le)組織目标并确定了(le)其方向。

 網絡安全是一個獨特的命題，因爲它與這(zhè)些(xiē)核心基礎中的每一個業務都有聯系。最終，除非具備這(zhè)些(xiē)要素，否則任何安全戰略都不可能(néng)成功。

 使網絡安全符合業務指标

 實現(xiàn)網絡安全的第一步是開(kāi)始像其他(tā)商業投資一樣思考網絡安全。不幸的是，網絡消費幾乎是随機的，沒有目标。當然，這(zhè)也(yě)意味着對(duì)績效和(hé)結果的有效衡量很(hěn)少。

 很(hěn)難想象其他(tā)任何商業元素會(huì)以這(zhè)種方式運作(zuò)，特别是在支出持續增長的情況下(xià)。

想象一下(xià)，一位銷售總監要求将團隊人數增加一倍，但(dàn)一年後這(zhè)項投資并未帶來(lái)任何收入增長。大(dà)多數公司都會(huì)立即讓銷售總監離開(kāi)。

 然而，在網絡安全方面，大(dà)多數公司将繼續向新的解決方案投入資金(jīn)，而不清楚自(zì)己的安全狀況是否有所改善。事(shì)實上(shàng)，許多組織缺乏有意義的指标來(lái)衡量其投資是否有任何回報(bào)。

 因此，衡量的指标必須是安全運作(zuò)的首要任務。實現(xiàn)這(zhè)一目标的指标需要側重于降低(dī)風(fēng)險。公司需要有一個堅實的概念，知(zhī)道(dào)他(tā)們在爲每一個安全元素做預算(suàn)時(shí)試圖保護什(shén)麽，以及爲什(shén)麽要這(zhè)樣做。

 企業需要确定哪些(xiē)業務功能(néng)受到(dào)違規行爲的影響最大(dà)，以及此類事(shì)件對(duì)業務運營的影響。基于這(zhè)種理(lǐ)解，企業可以逆向工(gōng)作(zuò)，構建一個安全戰略，以緩解這(zhè)些(xiē)高(gāo)優先級風(fēng)險。

 對(duì)于其他(tā)業務要素，企業知(zhī)道(dào)當其運營中的某個要素明(míng)顯會(huì)虧損時(shí)，應調整哪些(xiē)杠杆。有些(xiē)風(fēng)險可以緩解，有些(xiē)風(fēng)險可以接受，有些(xiē)風(fēng)險則可以轉移——同樣的思維過程也(yě)需要應用(yòng)于網絡安全。

企業文(wén)化和(hé)問責制是關鍵

 随着公司對(duì)其網絡風(fēng)險優先事(shì)項的認識不斷提高(gāo)，他(tā)們也(yě)應該熟悉自(zì)己的成熟度水(shuǐ)平。這(zhè)不是一個單一的衡量标準，而是适用(yòng)于每一個核心基礎——企業文(wén)化、問責制、流程、資源、自(zì)動化和(hé)衡量。

企業在一個領域的網絡風(fēng)險應用(yòng)可能(néng)比另一個領域更成熟。也(yě)許它已經建立了(le)成功的自(zì)動化，但(dàn)缺乏問責制。或者反之亦然。

 雖然某些(xiē)業務方面更容易定義，但(dàn)其他(tā)方面則更模糊。在安全方面，文(wén)化往往是一個模糊的概念，在特定的安全角色之外(wài)，問責制也(yě)往往沒有定義。

 這(zhè)裏一個有用(yòng)的方法是在整個組織中建立與安全相關的各種角色，并爲每個角色創建一個文(wén)化記分卡。更重要的利益相關者，如執行領導層，應該具有更高(gāo)的成熟度水(shuǐ)平，而對(duì)更一般的員工(gōng)來(lái)說，這(zhè)并不重要。如果一個部門(mén)的成熟度和(hé)責任感明(míng)顯低(dī)于您所需的水(shuǐ)平，那麽是時(shí)候開(kāi)始實施培訓等措施來(lái)改善情況了(le)。

 适應商業文(wén)化從(cóng)來(lái)不是一個快(kuài)速解決方案，因此企業應該預計(jì)這(zhè)是一個漸進的過程，至少需要12-18個月。

與此同時(shí)，企業可以開(kāi)始實施可靠的指标，以有效跟蹤其解決方案的投資回報(bào)率（ROI）。安全關鍵績效指标（KPI）應以非技術領導層和(hé)利益相關者能(néng)夠理(lǐ)解的方式與業務影響緊密相關。

 平均分辨時(shí)間（MTTR）是最有用(yòng)的例子之一。在網絡環境中，這(zhè)意味着從(cóng)識别威脅或漏洞到(dào)關閉它之間的時(shí)間。但(dàn)它在其他(tā)業務問題的更廣泛背景下(xià)也(yě)得到(dào)了(le)很(hěn)好(hǎo)的理(lǐ)解。

打破網絡安全支出循環

 很(hěn)明(míng)顯，面對(duì)同樣飛(fēi)漲的安全風(fēng)險，飛(fēi)漲的網絡安全支出是不夠的。這(zhè)種方法是不可持續的——特别是随着業務技術本身在過去幾年中随着雲遷移和(hé)遠程工(gōng)作(zuò)等因素的迅速變化。

 套用(yòng)愛因斯坦的話(huà)：我們不能(néng)用(yòng)我們創造問題時(shí)使用(yòng)的那種思維來(lái)解決問題。

 企業需要後退一步，開(kāi)始運營其信息安全性，而不僅僅是再增加一年的預算(suàn)。是通過追蹤網絡安全與核心業務基礎的聯系，企業可以開(kāi)始确保其投資在降低(dī)風(fēng)險敞口方面取得了(le)真正的成效。