成为与业务安全保持一致的网络安全领导者的 5 个步骤
独立的业务风险研究表明,安全和业务部门能够在上下文数据方面达成一致且实现共同行动时,就能缔造出显著成果。实现方法如下。
众所周知,网络安全遭到了破坏。安全领导者沉浸在数据之中。我们可以知道存在多少漏洞。我们可以知道部署过多少补丁。我们甚至可以对最新的威胁倒背如流。然而,即使掌握了所有这些信息,大多数人可能仍然难以自信地回答“我们有多安全,或者有多危险?”这一问题。
原因何在?因为我们遗漏了一项关键信息:即业务上下文。
我们用于计算企业安全或风险水平的典型公式,通常是由资产、安全控制措施、威胁和漏洞构成的函数。如果缺乏业务上下文,就无法评估哪些资产对核心业务的重要性,也不了解这些资产使用了哪些安全控制措施,那么任何安全风险计算的结果充其量只能揭示出片面的信息。
但是安全领导者不可能坐井观天就培养出对业务上下文的认识。要想培养认识,需要业务领导者与网络安全领导者之间达成一定程度的战略一致性,而这正是大部分企业的短板。事实上,Forrester Consulting 受 Tenable 委托开展的一项研究表明,业务与安全部门之间存在明显的脱节。该调查的调研人群为 416 位安全管理人员和 425 位业务管理人员,调查中只有 54% 的安全领导者和 42% 的业务管理人员表示,自己的网络安全策略与业务目标完全或高度保持一致。调查显示,只有不到半数的安全领导者表示自己在制定网络安全策略时,会频繁咨询业务领导者。更严重的是,四成业务管理人员在制定企业业务策略时,几乎不会(就算有也属于少数情况)咨询安全领导者。
“最大的挑战可能在于如何让企业负责人提起重视,并了解他们需要对网络安全风险负责。”在与 Tenable 进行的访谈中,LafargeHolcim 位于马德里的欧洲、中东和非洲 IT 部门的 IT 安全和内部控制主管 Jose Maria Labernia Salvador 表示,“网络安全是一个与业务相关的主题,又兼具庞大的 IT 内容。IT 可以提供支持和指导,但业务利益相关者和高级管理层才是这一问题的核心部分。”
Forrester 的研究表明,当业务和安全保持一致时,就能交出亮眼成绩。例如,与业务安全保持一致的信息安全领导者能够:
- 有充分的信心报告安全状况与风险。在能否自信应对企业安全或风险程度问题方面,相较于各自为政的安全领导者,与业务安全保持一致的信息安全领导者的表现要优于前者 8 倍。
- 有充分的信心展示安全计划的 ROI。绝大部分与业务安全保持一致的信息安全领导者 (85%) 都能掌握指标,追踪网络安全的 ROI 以及对业绩的影响,相较之下,在更为被动或各自为政的安全领导者中,只有 25% 能够掌握上述指标。
- 具备明确的基准比较流程。近九成与业务安全保持一致的信息安全领导者 (86%) 都具备了流程来明确实现这一目标,并针对同业公司和/或内部团队进行持续的流程改进。未能保持一致的安全领导者中则只有 32% 能做到。
但这并不是说,实现一致性的责任完全落在安全领导者的肩上。有些企业在文化上就容易产生各自为政的氛围。如果企业文化使然,那么无论投入多少精力,也可能始终难以与业务领导者保持一致。
如果不确定企业一致性的程度,有一种快速辨别的方法:如果企业具有"业务信息安全官"头衔的管理人员,那么一致性程度就偏向更成熟的一端。Forrester 的研究指出,绝大部分与业务安全保持一致的企业 (80%) 中都具有业务信息安全官 (BISO) 或类似职位,一致性较低的企业中则只有 35% 设有这类职位。
如何成为与业务安全保持一致的网络安全领导者
如果有幸在已拥有相对成熟的业务与网络安全一致性的企业中工作,那么成为与业务安全保持一致的信息安全领导者的道路就相当清晰,即使在推进上可能需要付出大量努力。但如果在一致性成熟度较低的企业中工作,那么这段旅程将更具挑战性。由于没有所谓的万全之策,我根据不同的一致性成熟度水平,量身定制了三种方案的指导原则,希望其中能有一种方案为企业提供适合的起点。
在各个级别的企业成熟度上改善与业务利益相关者一致性的五个步骤
步骤 | 一致性最低 | 一致性中等 | 一致性高 |
第 1 步:确保了解企业的年度业务目标。 | 很可能需要自己进行研究,查阅面向公众开放的文件,例如盈利预测与财务报表,对企业优先任务形成合理清晰的认知。 | 此步骤需要参加副总裁级别的主管电话会议,参与企业全体会议,并寻找其他方法向业务同事了解情况。 | 已经参加或尽可能参加高管层举行的每周会议,并且定期根据要求向董事会提交报告。这些活动有助于接触到关键业务目标。 |
第 2 步:思考上述业务目标如何影响技术决策。 | 安全领导者可能需要倚赖在企业中的同事人脉,帮助自己了解公司最重要的系统与资产。建议对业务中断与意外事件予以特别关注,以找出具有重要意义的领域。 | 还需要频繁地与副总裁或其他业务线主管建立电话联系,以了解哪些系统最为重要。 | 可以邀请关键业务管理人员参加调查,进行业务影响评估,以清楚了解哪些系统对企业日常运转至关重要。 |
第 3 步:与业务利益相关者合作,确保在网络安全指标中纳入业务上下文。 | 可能需要借助外部资源,例如行业事件、案例分析或交流小组,以全面检视共同的业务需求与关键安全指标,并且有根据地得出适合自己企业的指标。 | 可能无法接触到高级管理人员以帮助厘清业务上下文。因此需要与总监或业务线主管建立联系,咨询业界同行,以帮助找出对企业最有意义的指标。 | 这一步的重点在于提出正确的问题,并找出对企业最有意义的少数指标。 |
第 4 步:利用上述步骤获取的信息,对网络安全流程进行优先级分析。 | 从评估流程中的差距着手,例如缺乏资产重要性数据,并制定路线图随着时间填补各个缺口。 | 企业可以开始将资产重要性数据与威胁及漏洞数据相集成,以实现更加以风险为中心的方案。 | 利用自动化工具,并采用预测方法将业务风险管理目标应用于威胁与漏洞优先级分析实践中。 |
第 5 步:使用业务利益相关者关注的基准进行传达。 | 考虑与外部顾问合作,帮助培养以业务为导向的娴熟沟通技能。这个过程也有助于提升业务领导者对于评估风险以及业务本身的重视程度。 | 可能需要倚赖自己的观察力,留意身边业务同事的日常表达,借此调整自己的沟通方式。 | 即使在保持高度一致的企业中,现有构架的主观性与业界对关键风险指标缺乏共识也可能会使此步骤成为一个挑战。当然,如果企业已经保持高度一致,最高管理层应该会乐意开诚布公地沟通报告中需要纳入哪些内容,可以省略哪些内容。 |
来源:Tenable,2020 年 9 月
无论企业一致性的程度如何,田纳西州橡树岭市的橡树岭国家实验室 CISO Kevin Kerr 的建议都具有很好的参考价值。在与 Tenable 进行的访谈中,Kerr 建议道:“CISO 应该四处走访。多与他人交谈。从基层到高层了解不同人的关注点和目标。理解企业中在发生什么。切勿只听取 IT 人员的意见,他们总是会从 IT 观点出发。要从业务的角度去了解情况并认真倾听。”当然,在当前的新冠疫情环境下,可能只有通过线上的形式进行这样的访谈。但无论是面对面还是通过 Zoom,这些行动都将有利于企业和个人职业生涯。Kerr 表示,“这样大家都能记住您的付出。如果大家都知道您是为了帮助他们找到开展业务的最佳方式,同时又能保护企业安全,他们会非常欢迎您的参与。我不要当创新的绊脚石。”
成为与业务安全保持一致的网络安全领导者是一场马拉松,而不是短跑冲刺。这个过程要求学会如何同样流畅地运用业务与技术领域的语言。但是,正如 Forrester 的研究所指出的,“现代安全威胁需要新的方法”。未来属于准备好将网络安全当成业务风险管理的安全领导者。
阅读博客系列:如何成为与业务安全保持一致的网络安全领导者
本系列博客聚焦于使信息安全和业务保持一致所面临的挑战,以及信息安全领导者为何难以回答 “我们有多安全,或者有多危险?”。我们还研究了新冠疫情应对策略为业务与信息安全的脱节带来哪些启发,探讨了当传达网络安全风险时,现有的网络安全指标为何失灵,探索了实现业务一致性的五个步骤,以及观察了与业务安全保持一致的网络安全领导者的日常工作。
了解详情:
- 请在此参阅其他研究要点
- 下载完整调研业务一致型安全高管的崛起
- 阅读博文
- 下载白皮书成为与业务安全保持一致的信息安全领导者,需要采取哪些行动
- 阅读电子书如何成为与业务安全保持一致的信息安全领导者
- 收听 Cyber Exposure 播客系列节目“采访 Tenable CSO Bob Huber”
- 观看网络研讨会业务一致型安全高管的崛起
相关文章
- Vulnerability Management