為什么我們認(rèn)為屬于網(wǎng)絡(luò)安全的時(shí)代已經(jīng)過去了？

企業(yè)在網(wǎng)絡(luò)安全方面的投資比以往任何時(shí)候都多，但我們也看到了創(chuàng)紀(jì)錄的違規(guī)數(shù)量。據(jù)報(bào)道，去年有51億多條個(gè)人信息被盜，平均違規(guī)成本已攀升至435萬美元。

 網(wǎng)絡(luò)安全威脅行為者變善良了嗎？或者這是一個(gè)商業(yè)失??？

 不可否認(rèn)，網(wǎng)絡(luò)罪犯已經(jīng)變得更有組織，更先進(jìn)的工具和戰(zhàn)術(shù)越來越容易使用。但所有這些數(shù)十億美元沒有對違規(guī)數(shù)量產(chǎn)生影響的真正原因是，資金往往沒有以正確的方式使用。

 有一個(gè)巨大的高質(zhì)量解決方案市場正在尋找解決網(wǎng)絡(luò)安全問題的方法，但簡單地向它們投入資金最終不會(huì)改變安全狀況。必須正確實(shí)施解決方案才能真正幫助解決問題。

 這就是安全操作概念的由來。

 將安全性與核心業(yè)務(wù)基礎(chǔ)聯(lián)系起來

 每個(gè)企業(yè)都需要在幾個(gè)核心業(yè)務(wù)的基礎(chǔ)上取得成功。

 這包括商業(yè)文化——將所有人聚集在一起并使他們愿意在那里工作的一套價(jià)值觀——以及每個(gè)人對自己的角色所承擔(dān)的責(zé)任。

 然后是業(yè)務(wù)運(yùn)營的流程，以及支持這些流程的資源——所有這些都越來越容易通過自動(dòng)化實(shí)現(xiàn)。最后，所有業(yè)務(wù)活動(dòng)都需要產(chǎn)生可測量的輸出。

 所有這些結(jié)合在一起形成了組織的戰(zhàn)略，像一顆北極星，它賦予了組織目標(biāo)并確定了其方向。

 網(wǎng)絡(luò)安全是一個(gè)獨(dú)特的命題，因?yàn)樗c這些核心基礎(chǔ)中的每一個(gè)業(yè)務(wù)都有聯(lián)系。最終，除非具備這些要素，否則任何安全戰(zhàn)略都不可能成功。

 使網(wǎng)絡(luò)安全符合業(yè)務(wù)指標(biāo)

 實(shí)現(xiàn)網(wǎng)絡(luò)安全的第一步是開始像其他商業(yè)投資一樣思考網(wǎng)絡(luò)安全。不幸的是，網(wǎng)絡(luò)消費(fèi)幾乎是隨機(jī)的，沒有目標(biāo)。當(dāng)然，這也意味著對績效和結(jié)果的有效衡量很少。

 很難想象其他任何商業(yè)元素會(huì)以這種方式運(yùn)作，特別是在支出持續(xù)增長的情況下。

想象一下，一位銷售總監(jiān)要求將團(tuán)隊(duì)人數(shù)增加一倍，但一年后這項(xiàng)投資并未帶來任何收入增長。大多數(shù)公司都會(huì)立即讓銷售總監(jiān)離開。

 然而，在網(wǎng)絡(luò)安全方面，大多數(shù)公司將繼續(xù)向新的解決方案投入資金，而不清楚自己的安全狀況是否有所改善。事實(shí)上，許多組織缺乏有意義的指標(biāo)來衡量其投資是否有任何回報(bào)。

 因此，衡量的指標(biāo)必須是安全運(yùn)作的首要任務(wù)。實(shí)現(xiàn)這一目標(biāo)的指標(biāo)需要側(cè)重于降低風(fēng)險(xiǎn)。公司需要有一個(gè)堅(jiān)實(shí)的概念，知道他們在為每一個(gè)安全元素做預(yù)算時(shí)試圖保護(hù)什么，以及為什么要這樣做。

 企業(yè)需要確定哪些業(yè)務(wù)功能受到違規(guī)行為的影響最大，以及此類事件對業(yè)務(wù)運(yùn)營的影響。基于這種理解，企業(yè)可以逆向工作，構(gòu)建一個(gè)安全戰(zhàn)略，以緩解這些高優(yōu)先級(jí)風(fēng)險(xiǎn)。

 對于其他業(yè)務(wù)要素，企業(yè)知道當(dāng)其運(yùn)營中的某個(gè)要素明顯會(huì)虧損時(shí)，應(yīng)調(diào)整哪些杠桿。有些風(fēng)險(xiǎn)可以緩解，有些風(fēng)險(xiǎn)可以接受，有些風(fēng)險(xiǎn)則可以轉(zhuǎn)移——同樣的思維過程也需要應(yīng)用于網(wǎng)絡(luò)安全。

企業(yè)文化和問責(zé)制是關(guān)鍵

 隨著公司對其網(wǎng)絡(luò)風(fēng)險(xiǎn)優(yōu)先事項(xiàng)的認(rèn)識(shí)不斷提高，他們也應(yīng)該熟悉自己的成熟度水平。這不是一個(gè)單一的衡量標(biāo)準(zhǔn)，而是適用于每一個(gè)核心基礎(chǔ)——企業(yè)文化、問責(zé)制、流程、資源、自動(dòng)化和衡量。

企業(yè)在一個(gè)領(lǐng)域的網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)用可能比另一個(gè)領(lǐng)域更成熟。也許它已經(jīng)建立了成功的自動(dòng)化，但缺乏問責(zé)制?；蛘叻粗嗳?。

 雖然某些業(yè)務(wù)方面更容易定義，但其他方面則更模糊。在安全方面，文化往往是一個(gè)模糊的概念，在特定的安全角色之外，問責(zé)制也往往沒有定義。

 這里一個(gè)有用的方法是在整個(gè)組織中建立與安全相關(guān)的各種角色，并為每個(gè)角色創(chuàng)建一個(gè)文化記分卡。更重要的利益相關(guān)者，如執(zhí)行領(lǐng)導(dǎo)層，應(yīng)該具有更高的成熟度水平，而對更一般的員工來說，這并不重要。如果一個(gè)部門的成熟度和責(zé)任感明顯低于您所需的水平，那么是時(shí)候開始實(shí)施培訓(xùn)等措施來改善情況了。

 適應(yīng)商業(yè)文化從來不是一個(gè)快速解決方案，因此企業(yè)應(yīng)該預(yù)計(jì)這是一個(gè)漸進(jìn)的過程，至少需要12-18個(gè)月。

與此同時(shí)，企業(yè)可以開始實(shí)施可靠的指標(biāo)，以有效跟蹤其解決方案的投資回報(bào)率（ROI）。安全關(guān)鍵績效指標(biāo)（KPI）應(yīng)以非技術(shù)領(lǐng)導(dǎo)層和利益相關(guān)者能夠理解的方式與業(yè)務(wù)影響緊密相關(guān)。

 平均分辨時(shí)間（MTTR）是最有用的例子之一。在網(wǎng)絡(luò)環(huán)境中，這意味著從識(shí)別威脅或漏洞到關(guān)閉它之間的時(shí)間。但它在其他業(yè)務(wù)問題的更廣泛背景下也得到了很好的理解。

打破網(wǎng)絡(luò)安全支出循環(huán)

 很明顯，面對同樣飛漲的安全風(fēng)險(xiǎn)，飛漲的網(wǎng)絡(luò)安全支出是不夠的。這種方法是不可持續(xù)的——特別是隨著業(yè)務(wù)技術(shù)本身在過去幾年中隨著云遷移和遠(yuǎn)程工作等因素的迅速變化。

 套用愛因斯坦的話：我們不能用我們創(chuàng)造問題時(shí)使用的那種思維來解決問題。

 企業(yè)需要后退一步，開始運(yùn)營其信息安全性，而不僅僅是再增加一年的預(yù)算。是通過追蹤網(wǎng)絡(luò)安全與核心業(yè)務(wù)基礎(chǔ)的聯(lián)系，企業(yè)可以開始確保其投資在降低風(fēng)險(xiǎn)敞口方面取得了真正的成效。