让网络安全和业务保持一致这绝非易事
坏消息是什么?业务和网络安全之间存在脱节。好消息是什么?只要保持一致,结果就会大不同。
如果您担任 CISO、CSO 或其他网络安全领导者有一段时间了,您可能经常被 CEO、董事会成员或其他高管询问“我们有多安全?”之类的问题。您也知道,回答此类问题并不像看起来那么简单。
在企业风险快速转变的时期(疫情全球大流行、经济衰退和远程工作),全球各地的网络攻击和威胁肆意扩散,不仅放大了每个风险的影响,而且还将网络安全升级为董事会层级要考虑的议题。然而,站在前线的我们却要应对许多挑战,难以为业务领导者提供企业网络安全态势的清晰图景。
Tenable 观察到这些关键挑战渐渐浮出水面,欲帮助安全领导者与业务领导者开展一场有用的对话,因而 Tenable 委托 Forrester Consulting 对 416 位安全高管和 425 位业务高管进行了一项在线调查,从调研结果中审视大中型企业的网络安全策略和实践。研究成果“业务一致型安全高管的崛起”揭示了业务领导者的期望与安全领导者所面对的现实之间存在脱节。不过,该成果还揭示了当今数字企业可能面对的最大机会,即将 CISO 的角色提升到与其他高管角色同等地位。
未来属于与业务安全保持一致的网络安全领导者
该研究揭示了四个关键主题:
-
网络安全威胁在这个不确定的环境中大肆扩展,使它成为董事会值得关注的议题。绝大多数企业 (94%) 在过去 12 个月遭受过一次影响业务的1网络攻击或破坏事件。大约有三分之二 (65%) 的受访者表示这些攻击涉及运营技术 (OT) 资产。
-
业务领导者需要其企业网络安全态势的清晰图景,但其安全领导者难以提供。在 10 位安全领导者中,只有 4 位表示他们可以满怀信心地回答“我们有多安全”或“我们风险有多高?”这些问题。
-
企业对网络风险的了解与管理之间存在脱节。不到 50% 的安全领导者可以在特定业务风险环境中勾勒出网络安全威胁的影响。只有一半的安全领导者 (51%) 表示其安全企业与业务利益相关者在成本、绩效和降低风险目标方面与业务需求保持一致。10 位安全领导者中,只有 4 位 (43%) 安全领导者报告他们经常与业务利益相关者一起审核安全企业的绩效指标。
-
网络安全需要和业务安全风险策略一样成熟。只有在安全领导者对攻击面拥有最高的可见性情况下,这个目标才能实现。只有超过一半的安全领导者报告其安全企业可以对企业的整个攻击面进行全面了解和评估,而不到 50% 的安全企业使用环境威胁指标来度量其企业网络安全风险。这就是说,他们根据业务重要性和威胁环境分析网络安全风险、对修复进行优先级分析和执行修复的能力十分有限。
研究显示,在安全领导者和业务领导者就达成的业务风险数据保持一致时,便可创造出事实胜于雄辩的重大成果。与业务安全保持一致的信息安全领导者与各自为政的安全领导者相比,其报告安全或风险的程度的能力提高了 8 倍之多。在今天的经济形势下,随着全球经济衰退,导致企业重新评估其开支,这一点尤为显著。85% 与业务安全保持一致的信息安全领导者掌握追踪网络安全 ROI 或影响业绩的指标,而对于更具被动的和各自为政的安全领导者,仅有 25% 能掌握这些指标。
就像 Sentara Healthcare 的 CISO Dan Bowden 去年与 Tenable 的访谈所指出的那样:“在当今形势下,全社会都越来越多地关注到企业如何更好地管理风险,每家企业的每个管理层团队和每位董事会成员都希望在修复问题的过程中出一份力。如果您能提供关于风险暴露的优质数据(这也恰恰是真正要做的事情),他们就能理解数据,将风险与数据关联到一起。他们希望参与这一过程,帮您更好地解决问题和管理风险。”
为了实现这种一致性,CISO 和其他安全和风险管理领导者需要技术、数据、流程和人员进行正确的组合。例如,大多数与业务安全保持一致的企业 (80%) 设立了业务信息安全官 (BISO) 或类似的职位,而一致性不足的企业只有 35%。该研究也表明, 在对关键漏洞进行评估流程自动化方面,与业务安全保持一致的信息安全领导者相较于被动、各自为政的安全领导者高出 +49 到 +66 个百分点。
1与网络攻击有关的“业务影响”或造成客户、员工或其他机密数据损失的破坏事件;中断日常运营;为勒索软件付赎金;财务损失或遭窃;和/或知识产权遭窃。
阅读博客系列:如何成为与业务安全保持一致的网络安全领导者
本系列博客聚焦于使信息安全和业务保持一致所面临的挑战,以及信息安全领导者为何难以回答 “我们有多安全,或者有多危险?”。我们还研究了新冠疫情应对策略为业务与信息安全的脱节带来哪些启发,探讨了当传达网络安全风险时,现有的网络安全指标为何失灵,探索了实现业务一致性的五个步骤,以及观察了与业务安全保持一致的网络安全领导者的日常工作。
了解详情
相关文章
- Reports
- Research Reports
- Threat Intelligence
- Vulnerability Management