压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

網絡風險管理:業務團隊與安全團隊之間的空白

業務經理想要得到實時網絡風險管理指標,但網絡安全團隊只能交付技術數據和階段性報告。這中間的空白需要得到填補。

幾年前,網絡安全人員常常哀嘆經理們根本不想要真正的安全,他們只想要“夠好”的安全。這種說法反映出很多CEO都將網絡安全等同于合規。他們似乎認為,只要CISO能夠搞定PCI、HIPAA或SOX合規,網絡安全問題就得到了解決。

那種只求“夠好”的安全態度受到了網絡安全人員的反感。想要好好保護企業資產的CISO們渴求業務高管能夠真正理解網絡風險,并愿意積極參與和大力支持網絡風險管理工作。

但俗話說得好,人心不足蛇吞象:2019年,業務高管們全都參與了進來,結果卻是給網絡安全團隊制造了大麻煩。

企業戰略集團(ESG)最近剛剛對340位網絡安全、IT和風險人員做了關于網絡風險管理方面的調查。受訪者需指出對業務高管和企業董事來說最重要的網絡風險指標。票選出來的四大業務面重點反映出業務需求與技術能力上的巨大鴻溝。

  • 39%的受訪者想要與主要業務和IT項目有關的安全狀態報告。換句話說,他們想要了解與端到端業務過程相關的網絡風險,而不是具體的 Windows PC、DNS服務器或軟件漏洞。網絡安全團隊需更好地將極客數據翻譯成業務指標。
  • 36%的受訪者想要知道與IT審計相關的狀態及響應。這不是什么新要求。但業務人員想要的不僅僅是斷斷續續的報告,他們想要的是能夠指導及時風險緩解決策的常態化更新。為滿足這一需求,CISO必須努力實現持續風險管理分析。
  • 36%的受訪者想要針對與其他數據相關的環境漏洞的報告。沒錯,業務人員關注有漏洞的資產,但他們真的不想看到滿是軟件漏洞細節的報告。他們更想了解任務關鍵資產是否容易遭到已知漏洞利用的攻擊,以便能夠重點安排諸如系統修復、流量分隔、訪問限制等緩解措施。換句話說,網絡安全團隊的漏洞報告應重質量而不是數量。
  • 35%的受訪者想要更具體的安全開支投資回報。ESG的其他研究顯示,58%的公司企業計劃在2019年增加網絡安全開支。很明顯,高管們愿意支持網絡安全項目,但他們同時也想更加了解自己花出去的錢都有些什么回報。安全開支投資回報的計算并不容易,但CISO必須設法將網絡安全開支以業務、人力資源和技術術語表述清楚,讓公司企業能夠據此調整預算,在恰當的時候把錢用在正確的地方。

業務高管很怕自己公司被掛上下一個數據泄露新聞頭條,所以他們比以往更愿意加強網絡安全投資,以確保這種事情不會發生。他們從安全團隊得到的回報是什么呢?算表和及時的指標,以便能夠實時調整風險管理策略。但遺憾的是,大多數CISO(和首席風險官)并沒有能夠滿足這一需求的過程和指標。

CISO需帶著業務思維與高管團隊合作,以成本有效的方式在恰當的時間保護正確的資產。

這一網絡風險管理上的空白代表著需立即加以關注的重要問題。CISO必須采納新的工具和網絡風險管理方法論,比如信息風險因素分析(FAIR)。鑒于很多網絡安全經理并不具備合適的技術或資源,他們或許會想借助 Unisys TrustCheck 之類網絡風險管理服務的幫忙。

無論如何,CISO必須盡快轉換思路。只要不確定自己的投資是有效還是打水漂,業務高管就不會繼續往網絡安全上砸錢。CISO需帶著業務思維與高管團隊合作,以成本有效的方式在恰當的時間保護正確的資產。

上一篇:發起一次網絡攻擊要花多少錢?

下一篇:2018年全球408輪融資62億美元 2019年并購強于IPO