Facebook Google Plus Twitter LinkedIn YouTube RSS 菜单 搜索 资源 - 博客资源 - 网络研讨会资源 - 报告资源 - 活动icons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅
  • Twitter
  • Facebook
  • LinkedIn

让网络安全和业务保持一致这绝非易事

让网络安全和业务保持一致 这绝非易事

坏消息是什么?业务和网络安全之间存在脱节。好消息是什么?只要保持一致,结果就会大不同。

如果您担任 CISO、CSO 或其他网络安全领导者有一段时间了,您可能经常被 CEO、董事会成员或其他高管询问“我们有多安全?”之类的问题。您也知道,回答此类问题并不像看起来那么简单。

在企业风险快速转变的时期(疫情全球大流行、经济衰退和远程工作),全球各地的网络攻击和威胁肆意扩散,不仅放大了每个风险的影响,而且还将网络安全升级为董事会层级要考虑的议题。然而,站在前线的我们却要应对许多挑战,难以为业务领导者提供企业网络安全态势的清晰图景。

Tenable 观察到这些关键挑战渐渐浮出水面,欲帮助安全领导者与业务领导者开展一场有用的对话,因而 Tenable 委托 Forrester Consulting 对 416 位安全高管和 425 位业务高管进行了一项在线调查,从调研结果中审视大中型企业的网络安全策略和实践。研究成果“业务一致型安全高管的崛起”揭示了业务领导者的期望与安全领导者所面对的现实之间存在脱节。不过,该成果还揭示了当今数字企业可能面对的最大机会,即将 CISO 的角色提升到与其他高管角色同等地位。

未来属于与业务安全保持一致的网络安全领导者

该研究揭示了四个关键主题:

  • 网络安全威胁在这个不确定的环境中大肆扩展,使它成为董事会值得关注的议题。绝大多数企业 (94%) 在过去 12 个月遭受过一次影响业务的1网络攻击或破坏事件。大约有三分之二 (65%) 的受访者表示这些攻击涉及运营技术 (OT) 资产。

  • 业务领导者需要其企业网络安全态势的清晰图景,但其安全领导者难以提供。在 10 位安全领导者中,只有 4 位表示他们可以满怀信心地回答“我们有多安全”或“我们风险有多高?”这些问题。

  • 企业对网络风险的了解与管理之间存在脱节。不到 50% 的安全领导者可以在特定业务风险环境中勾勒出网络安全威胁的影响。只有一半的安全领导者 (51%) 表示其安全企业与业务利益相关者在成本、绩效和降低风险目标方面与业务需求保持一致。10 位安全领导者中,只有 4 位 (43%) 安全领导者报告他们经常与业务利益相关者一起审核安全企业的绩效指标。

  • 网络安全需要和业务安全风险策略一样成熟。只有在安全领导者对攻击面拥有最高的可见性情况下,这个目标才能实现。只有超过一半的安全领导者报告其安全企业可以对企业的整个攻击面进行全面了解和评估,而不到 50% 的安全企业使用环境威胁指标来度量其企业网络安全风险。这就是说,他们根据业务重要性和威胁环境分析网络安全风险、对修复进行优先级分析和执行修复的能力十分有限。

研究显示,在安全领导者和业务领导者就达成的业务风险数据保持一致时,便可创造出事实胜于雄辩的重大成果。与业务安全保持一致的信息安全领导者与各自为政的安全领导者相比,其报告安全或风险的程度的能力提高了 8 倍之多。在今天的经济形势下,随着全球经济衰退,导致企业重新评估其开支,这一点尤为显著。85% 与业务安全保持一致的信息安全领导者掌握追踪网络安全 ROI 或影响业绩的指标,而对于更具被动的和各自为政的安全领导者,仅有 25% 能掌握这些指标。

就像 Sentara Healthcare 的 CISO Dan Bowden 去年与 Tenable 的访谈所指出的那样:“在当今形势下,全社会都越来越多地关注到企业如何更好地管理风险,每家企业的每个管理层团队和每位董事会成员都希望在修复问题的过程中出一份力。如果您能提供关于风险暴露的优质数据(这也恰恰是真正要做的事情),他们就能理解数据,将风险与数据关联到一起。他们希望参与这一过程,帮您更好地解决问题和管理风险。”

为了实现这种一致性,CISO 和其他安全和风险管理领导者需要技术、数据、流程和人员进行正确的组合。例如,大多数与业务安全保持一致的企业 (80%) 设立了业务信息安全官 (BISO) 或类似的职位,而一致性不足的企业只有 35%。该研究也表明, 在对关键漏洞进行评估流程自动化方面,与业务安全保持一致的信息安全领导者相较于被动、各自为政的安全领导者高出 +49 到 +66 个百分点。

1与网络攻击有关的“业务影响”或造成客户、员工或其他机密数据损失的破坏事件;中断日常运营;为勒索软件付赎金;财务损失或遭窃;和/或知识产权遭窃。

阅读博客系列:如何成为与业务安全保持一致的网络安全领导者

本系列博客聚焦于使信息安全和业务保持一致所面临的挑战,以及信息安全领导者为何难以回答 “我们有多安全,或者有多危险?”。我们还研究了新冠疫情应对策略为业务与信息安全的脱节带来哪些启发,探讨了当传达网络安全风险​时,现有的网络安全指标为何失灵,探索了实现业务一致性的五个步骤,以及观察了与业务安全保持一致的网络安全领导者的日常工作

了解详情

  • 在此参阅其他研究要点
  • 有关更多信息,请在此访问我们的网页
  • 在此下载完整研究“业务一致型安全高管的崛起”
  • 在此阅读 Sentara Healthcare 如何推动与高管和董事会进行有意义的讨论。

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

免费试用 立即购买
Tenable.io 免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册。

Tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买
免费试用 立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。完整介绍请见此处。

免费试用 立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

免费试用 联系销售人员

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

免费试用 联系销售人员

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。