谈论可能很方便,但在IT安全方面,与同事、业务合作伙伴和其他相关方进行战略对话的价值可能是不可估量的。
技术研究和咨询公司ISG网络安全部门联席主管罗杰·阿尔布雷希特表示,通过持续的讨论解决网络安全问题的价值在于,让企业在有效和稳健的战略上保持一致。
“这样的讨论确保将网络安全倡议和资源需求整合到企业的业务目标中。”他补充道。这些讨论解决了不断变化的监管和合规问题,并揭示了风险缓解方面的漏洞和威胁。
Albrecht说,正在进行的IT安全战略对话应该降低企业的网络风险,并实现战略目标。“这样的对话,应该以明确的行动、好处、时间表以及弥补差距所需的预算和资源来结束。
对于希望建立更强大的网络安全战略的IT领导者来说,以下7个问题是你应该与高管同事、业务合作伙伴和IT员工进行深入网络安全战略对话的关键提示。
1、我们的系统是否在安全方面有足够的现代化?
谷歌云CISO Phil Venables表示,企业应该讨论如何对其技术基础设施进行现代化改造,以支持内置安全而不是简单地连接的体系结构。
遗留系统通常存在固有缺陷,因为它们的设计不像更现代的体系结构——通常是公有云或私有云——那样具有防御性。Venables观察到,在过去10年中,有许多案例表明,企业在网络安全产品上进行了大量投资,但尚未升级其整体IT基础设施或实现软件开发方法的现代化。
“这相当于在沙子上盖房子。”他说。如果不继续关注和投资于IT现代化,企业将无法充分实现安全进步的好处,从而使其企业容易受到恶意活动的攻击。
Venables建议,现代化对话应在董事会会议室、高管领导层会议和业务部门特定战略会议中举行。
“归根结底,只要在正确的利益相关者之间进行讨论,并启动路线图,企业就会为成功做好准备。”他说。
2、我们是否在应对网络场景时达到了我们应该达到的程度?
管理咨询公司艾斯纳咨询集团(Eisner Consulting Group)合伙人兼外包IT服务主管拉胡尔·马纳(Rahul Mahna)认为,与团队和管理同事一起玩情景游戏可以刺激有用的安全洞察。
例如,如果一个关键客户的业务因网络攻击而关闭,会发生什么?下一步会是什么?“这种类型的事件响应计划在我们的客户对话中非常有价值,”Mahna解释说。他建议,这样的安全战略对话不应该是偶尔的、一次性的讨论,而应该是一系列持续的、定期的对话。
除了定期对话,Mahna建议每年举行一次以安全为重点的会议,并结合事件响应计划测试,使主要高管和经理了解不断发展的政策、实践和角色的最新情况。
Mahna建议说,计划在网络攻击发生时应该做什么是一项极其宝贵的资产,应该在运行手册中进行实质性的限定和量化。“这本书应该被共享,并提供给指定的安全团队成员,以提供一条途径,以便在发生安全漏洞时,能够成功地执行经过深思熟虑的应对计划。”
3、我们是否培养了一种安全文化?
亚马逊网络服务全球安全合作伙伴主管瑞安·奥尔西(Ryan Orsi)表示,领导者为他们企业的IT安全战略定下了基调。在一种安全文化中,每个员工都感觉自己有权在经过批准的安全护栏内快速移动,从而带来更快的创新周期、更快的业务成果以及更高的最终客户满意度。
Orsi说,激励个人在定义明确的安全护栏内创新和快速行动的企业是最有效的。如果你觉得你的企业在发布应用程序更新、网站更新和数据库更改等项目之前打开票证请求安全团队批准,那么你可能就没有在安全文化中运营。“通过将安全文化融入整个领导层,你很可能会感受到不同。”
4、我们对新出现的威胁评估是否真的是最新的?
网络罪犯从不睡觉;他们总是放纵和腐败。商业管理咨询公司摩根·富兰克林咨询公司的高级经理格里芬·阿什金建议:“在IT安全战略方面,必须就网络威胁的新性质进行非常直接的对话。”
阿什金警告说,最近的经验表明,网络罪犯现在正在超越勒索软件,进入网络勒索。他们威胁要向外界公布企业员工的个人身份信息(PII),使员工面临身份被盗的巨大风险。
阿什金认为,安全领导者应该努力重新部署尽可能多的本地基础设施资源,从而将网络保护责任转移到云提供商身上。此外,定期安排的管理层对话应导致关键决策,例如对增强的安全工具的潜在投资、更新的安全意识培训材料、与最终用户的更多沟通以提高对最新安全威胁的认识,以及应对和降低员工风险所需的任何其他相关步骤。
5、我们是否制定了真正有效的事件响应计划?
网络安全公司Camelot Secure的解决方案工程总监扎卡里·福克(Zachary Folk)建议,每个企业都需要举行一次聚焦于事件响应的对话。
Folk说,规划至关重要。讨论应包括企业的执行人员,包括CIO、CISO、CTO、事故应对小组协调员和所有部门负责人。他建议,这些会议和对话应该导致制定或更新事件应对计划。讨论还应审查关键任务资产和优先事项,评估攻击的可能影响,并确定最有可能的攻击威胁。
Folk说,通过将企业的风险管理方法从基于矩阵的测量(高、中或低)改为量化的风险降低,你可以根据需要将实际的潜在影响建立在尽可能多的变量上。通过使用简单的蒙特卡罗模拟和从你的企业收集的数据,你可以为高级员工提供实际的损失、潜在发生和影响的概率。
6、我们的安全投资是否实现了最大投资回报?
IT资产可见性和网络安全公司Sevco的CSO布莱恩·康托斯表示,是时候停止逃避安全ROI对话了。他指出,企业在CMDB、SIEM、SOAR、EDR、漏洞管理和相关解决方案方面投入了大量资金。
“为了实现这些解决方案的价值,企业需要确保流入它们的信息(如资产情报)是及时、准确和经过重复数据消除的,”他说。企业级安全解决方案中强大的资产智能不仅能帮助你更好地降低风险,还能提高这些投资的投资回报率。
Contos说,ROI对话应该会导致安全、IT运营和GRC(治理、风险和合规性)团队更好地了解他们的环境。它应该专注于所有好的和不好的东西,同时确定需要最快速改进的领域。然后,可以将优先行动分配给适当的团队,以处理许可、流程改进、漏洞查找、安全控制可见性和监管要求等主题。
“最终,当利用资产情报来丰富专注于安全、IT运营和GRC的现有工具的有效性时,应将降低风险和最大化ROI结合起来。”他建议说。
7、我们的财务风险究竟有多大?
也许最关键的IT安全战略对话集中于回答一个问题:“如果我们的IT系统出现故障,我们的客户将面临什么经济损失?”
这些讨论的目标应该是建立一个安全、健壮和有弹性的IT环境,一个客户可以确保保持正常运行的环境,允许产品和服务不间断地交付,托管服务和IT战略公司Blue Mantis的现场CISO罗布·菲茨杰拉德说。
菲茨杰拉德建议,这种对话应该不少于每年一次,最好是在预算季节之前进行,这样CIO和CISO就可以相应地制定计划。他说,如果发生任何影响业务的重大事件,也需要在这些时间段进行对话。例如,如果一个企业打算出售一个部门或收购另一个企业,CIO和CFO有信托义务重新评估客户在企业的IT系统不可用时将面临的财务损失。