高管总想削减预算,CISO需有灵活的结构以改进基线评估和目标、战术及能力。
大多数现代企业都将网络安全视为重中之重,这不算什么秘密。但风险管理公司Marsh最近的一份调查报告揭示,仅1/5的公司企业有工具可以管理网络攻击风险——尽管高管宣称网络攻击是其首要风险管理关注点。
为什么认知与实际行动会倒挂?这往往是因为安全产品及工具似乎没有能直接影响商业结果的投资回报(ROI),也就让安全人员难以在公司里倡导购置这些工具。
公司企业难以量化网络安全投资价值的同时,需重点指出的是,真正的ROI来自于防护公司免遭实质性损害。Juniper Research 的一份研究预测,到2019年,数据泄露将令公司企业损失2万亿美元以上。因此,鉴于防损和公司底线之间的直接联系,聪明的安全在成本节约、信誉保护等方面值回票价。公司企业知道自己需要关注安全,但想要真正获得高管支持,安全团队需证明ROI——正确的ROI,并提供清晰的实现计划。
同时,传统信息安全角色不断扩张,如今的安全角色已超出了安全运营的范围。安全人员现在身兼多责,不仅仅要确保安全工具正常运转,还需证明实现特定工具的需求是合理的。
面对领导层的这种新考验,安全团队该怎么让高管理解应将安全从一开始就植入产品和过程以避免在遭遇重大安全事件之后才亡羊补牢呢?做张安全路线图可帮助规划说服高管掏钱所需的战术性行动。
一张在CIO下创建灵活安全结构的有效路线图,有4个支柱:
- 安全监管:包含企业治理和关键绩效指标(KPI)跟踪。
- 信息风险:内部风险管理项目的设计及可持续性,可跟踪企业整体风险和可接受较高风险水平之例外情况。
- 安全架构和工程:与跟踪并缓解风险的安全控制及工具的主动持续部署有关的内容。
- 安全运营:利用以上3个支柱监视并报告事件的运营模型。
以此为基础,以下4步可助信息安全人员将路线图付诸实践。
实践 1:评估风险、资产及资源
应先识别并登记最需保护的资产。什么东西对你的公司最为重要?你系统和数据面临的最主要威胁是什么?然后你得理解这些资产遭遇网络威胁的可能性。如果你的安全团队人手不足,不妨在必要的时候利用其它团队或外包出去。一旦完成评估,应选择要遵从的安全框架来保持项目正常运行,比如美国国家标准与技术局(NIST)制定的安全框架——覆盖了任意相关监管要求的。
实践 2:更新信息安全策略
要获得高管支持,得从经理层开始一级一级往上。更新现有策略并创建通用安全标准,可在高风险领域给他们提供指南。经理也会受益于从风险评估到商业用于的转译和使用与高管层一致的标准。
实践 3:发现所需的新控制并部署它们
确保记录下每一个ID对数据的所有访问——这需要日志管理工具或安全信息及事件管理系统(SIEM)。
限制特定数据只能被特定人员访问通常是个不错的做法。另外还应要求唯一的系统用户名和口令,并清除组账户共享。数据防泄漏对于确保没有敏感数据被邮出公司而言非常重要。一旦做好测试这些控制措施的准备,你应使用分阶段的做法,以确保这些控制措施被集成到新基础设施及应用部署的软件开发生命周期中。而且,测试过程中,你不应仅注意解决方案在技术上是否有效,还应关注是否会给你的雇员或过程带来过重负担。
实践 4:教育你的员工、管理层、供应商和客户
准备好推出新策略时,你需着眼内部及外部教育。在内部,你应解释员工需遵从的规则,以及不合规可能面临的后果。定期安全培训会促进良好安全意识的养成,做到“公司安全我有责”。对外,你应让供应商和客户都知晓你的新策略,让他们知道合规所需要求。
虽然企业总想给预算瘦身,一张有效的路线图是引导内聚作用的最快方式。路线图可使你改进基线评估和目标、战术及能力。通过有效计算风险,从管理该风险的角度阐述安全产品的价值,以及合理化安全产品在预算中的位置,信息安全人员将能够说服高管,留下预算。
Marsh报告链接:
https://www.marsh.com/us/insights/research/global-cyber-risk-perception-survey.html
Marsh报告下载地址:
https://www.marsh.com/content/dam/marsh/Documents/PDF/US-en/Marsh%20Microsoft%20Global%20Cyber%20Risk%20Perception%20Survey%20February%202018.pdf
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
