如何改进网络安全决策以降低业务风险
通过确定哪些指标可以提供适当的背景信息,以帮助企业从高管、战略和战术层面做出决策,从而提高计划效率。
面对日益变化的环境以及现代 IT 环境的速度和扩展性开始遭到攻击者利用,安全团队面临的挑战不断增加。这些变化速度快,复杂性高,这促使信息安全团队自身的发展达到一个新高度;如今,安全团队还必须成为风险管理领域的专家。无论是一人团队还是多人团队,安全团队都面临着需要做出跨越企业多个层面的决策,才能更有效地缓解风险。
在我们最新的白皮书《业务风险决策安全策略的 3 个层面》中,我们深入探讨了安全团队需要执行的三个决策策略层面:
- 高管层面;
- 战略层面;
- 战术层面
这些不同层面的决策过程牵涉到很多细微差别,可能非常复杂。 在本文中,我们将展示各个层面所需决策类型的一些示例,以及正确的指标和工具如何有助于改进所有三个层面的决策,从而提高安全计划的效率。
高管层面的决策
在高管层面,安全领导者在决策支持中扮演两种不同的角色:一是将有关企业安全和风险态势的信息和指标传达给最高管理层的业务领导者;二是在自己高管层面的决策方面,为其领导的安全团队提供指导和支持。
为了支持其在最高管理层的同侪,安全高管通常会要求其安全团队提供广泛的信息,以帮助指导可能影响整个企业的业务、收入和责任决策。为了改进这一层面的决策,安全团队提供的指标必须以风险为基础,并且以与业务驱动因素一致的方式构建。
例如,由于业务领导者需要在企业目标等更广泛的背景下传达安全信息,因此他们认为,了解端点保护软件阻止的恶意软件程序的原始数量或当月修补的漏洞总数量没有多大价值。 这些指标仅仅表示总量数据,但不具有任何业务背景。 反之,安全领导者应考虑了解在已签署的服务水平协议 (SLA) 时限内发现的重要风险漏洞消除的百分比,或按重要业务功能(如企业的主要电子商务网站,或纽约的主数据中心)细分的风险降低趋势。
从更广泛的视角审视安全性能,安全领导者可以为业务高管提供有价值的背景信息,帮助其了解安全计划产生的效果,并决定是否有哪些领域必须投入更多资源来进一步缓解和降低业务中的风险。
同样是这些指标,如果仅仅从安全团队的角度来看,则代表了团队所有成员和决策层面所推动的所有工作的结合体。 通过这种方式,CISO 和其他高管层面的安全领导者可以直观地确定其他团队成员是否成功实现了安全团队的愿景,以及战略和战术层面的决策是否能够有效地以有形的方式降低风险。 当然,如果这些指标呈下降趋势,就可以让安全领导者纠正方向,确定哪些领域需要更多管理支持,以便清除障碍、获取更多资源、雇用更多员工或引入额外的外部援助。
战略层面的决策
沿着安全团队的组织结构图向下移动,战略层面的决策者(通常是主管、团队领导或其他中层管理人员,但也可能是高级技术专家或分析师)必须支持高管层面的团队为业务的总体方向做出更好的决策,同时也帮助战术层面的团队在其修复工作中更高效、更有效地降低风险。
风险优先级分析是为战术层面的团队提供最佳支持的关键所在,其中日常运营决策对于确保企业将资源集中在最关键的领域(即修复工作能够产生最大影响)至关重要。 当企业致力于将业务需求转化为运营执行时,资产重要性对于理解如何降低总体业务的最关键风险,以及如何帮助运营团队更高效且有效地对其工作进行优先级分析都至关重要。
一旦理解了企业中资产的业务重要性(无论是通过资产所在的位置、互联网的暴露程度、设备的类型、其支持的业务功能,还是任何其他因素),就可以将更适合的风险方法应用到修复工作流中。
在安全计划的总体管理方面,同样重要的还有理解策略、流程和程序是否按预期运作,并有助于随着时间的推移提高成熟度。更重要的是,战略层面的决策能够支持另外两个层面的决策。通过更好的战略决策,从而不断完善和改进安全计划,企业就可以证明安全计划的有效性,且正在持续改进,这对于高管层面的决策者来说是业务价值的重要标志。让高管人员理解,为改进安全计划所做的工作能够产生业务价值,这不仅对团队的成功至关重要,而且可以用于支持额外预算和人员分配的请求。 因此,从成熟度的角度对评估和修复流程的有效性进行度量,不仅有助于战略层面的决策者在必要时调整资源以改进这些工作流,同时还能够支持总体业务需求,通过效率和流程优化不断降低风险并提高投资回报率。
战术层面的决策
无论安全团队是否直接参与主动修复工作的操作执行,其仍然在帮助有效且高效地执行这些日常修补和修复任务方面发挥着重要作用。
通过将安全调查的结果转化为具体的建议步骤,安全团队可以帮助运营团队更容易快速理解需要进行哪些工作,并高效地构建适当的工作流来执行必要的修复步骤。安全和运营流程之间更无缝的集成意味着提高了计划的总体效率,从而为企业创造了更大价值并降低了更多有形风险。
在决策方面,每个层面都会带来各自独特的挑战。但是,只要具备了正确的洞见和观点,就可以在安全计划的效率方面做出切实改进并会有所体现。
了解详情
- 阅读白皮书:业务风险决策安全策略的 3 个层面
- 报名参加网络研讨会:改进安全策略: 掌握决策的 3 个层面
- 观看视频:用 Tenable Lumin 度量安全计划的有效性
相关文章
Tenable Capture the Flag 2023: And the Winners Are...
August 14, 2023It's time to crown the winners of this year's Capture the Flag Event!
Cybersecurity Snapshot: SEC Wants More Cybersecurity Transparency from Public Companies
July 28, 2023Find out what’s in the SEC’s new cybersecurity disclosure rules. Plus, CISA analyzes the cyber risks impacting critical infrastructure organizations. Also, check out guidance for shadow IT and tips to boost your security awareness program. And much more!
Cybersecurity Snapshot: CSA Offers Guidance on How To Use ChatGPT Securely in Your Org
May 5, 2023Check out the Cloud Security Alliance’s white paper on ChatGPT for cyber pros. Plus, the White House’s latest efforts to promote responsible AI. Also, have you thought about vulnerability management for AI systems? In addition, the “godfather of AI” sounds the alarm on AI dangers. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Executive Management
- Risk-based Vulnerability Management
- Vulnerability Management
- Vulnerability Scanning