為什么我們認(rèn)為屬于網(wǎng)絡(luò)安全的時(shí)代已經(jīng)過(guò)去了？

企業(yè)在網(wǎng)絡(luò)安全方面的投資比以往任何時(shí)候都多，但我們也看到了創(chuàng)紀(jì)錄的違規(guī)數(shù)量。據(jù)報(bào)道，去年有51億多條個(gè)人信息被盜，平均違規(guī)成本已攀升至435萬(wàn)美元。

 網(wǎng)絡(luò)安全威脅行為者變善良了嗎？或者這是一個(gè)商業(yè)失敗？

 不可否認(rèn)，網(wǎng)絡(luò)罪犯已經(jīng)變得更有組織，更先進(jìn)的工具和戰(zhàn)術(shù)越來(lái)越容易使用。但所有這些數(shù)十億美元沒(méi)有對(duì)違規(guī)數(shù)量產(chǎn)生影響的真正原因是，資金往往沒(méi)有以正確的方式使用。

 有一個(gè)巨大的高質(zhì)量解決方案市場(chǎng)正在尋找解決網(wǎng)絡(luò)安全問(wèn)題的方法，但簡(jiǎn)單地向它們投入資金最終不會(huì)改變安全狀況。必須正確實(shí)施解決方案才能真正幫助解決問(wèn)題。

 這就是安全操作概念的由來(lái)。

 將安全性與核心業(yè)務(wù)基礎(chǔ)聯(lián)系起來(lái)

 每個(gè)企業(yè)都需要在幾個(gè)核心業(yè)務(wù)的基礎(chǔ)上取得成功。

 這包括商業(yè)文化——將所有人聚集在一起并使他們?cè)敢庠谀抢锕ぷ鞯囊惶變r(jià)值觀——以及每個(gè)人對(duì)自己的角色所承擔(dān)的責(zé)任。

 然后是業(yè)務(wù)運(yùn)營(yíng)的流程，以及支持這些流程的資源——所有這些都越來(lái)越容易通過(guò)自動(dòng)化實(shí)現(xiàn)。最后，所有業(yè)務(wù)活動(dòng)都需要產(chǎn)生可測(cè)量的輸出。

 所有這些結(jié)合在一起形成了組織的戰(zhàn)略，像一顆北極星，它賦予了組織目標(biāo)并確定了其方向。

 網(wǎng)絡(luò)安全是一個(gè)獨(dú)特的命題，因?yàn)樗c這些核心基礎(chǔ)中的每一個(gè)業(yè)務(wù)都有聯(lián)系。最終，除非具備這些要素，否則任何安全戰(zhàn)略都不可能成功。

 使網(wǎng)絡(luò)安全符合業(yè)務(wù)指標(biāo)

 實(shí)現(xiàn)網(wǎng)絡(luò)安全的第一步是開(kāi)始像其他商業(yè)投資一樣思考網(wǎng)絡(luò)安全。不幸的是，網(wǎng)絡(luò)消費(fèi)幾乎是隨機(jī)的，沒(méi)有目標(biāo)。當(dāng)然，這也意味著對(duì)績(jī)效和結(jié)果的有效衡量很少。

 很難想象其他任何商業(yè)元素會(huì)以這種方式運(yùn)作，特別是在支出持續(xù)增長(zhǎng)的情況下。

想象一下，一位銷售總監(jiān)要求將團(tuán)隊(duì)人數(shù)增加一倍，但一年后這項(xiàng)投資并未帶來(lái)任何收入增長(zhǎng)。大多數(shù)公司都會(huì)立即讓銷售總監(jiān)離開(kāi)。

 然而，在網(wǎng)絡(luò)安全方面，大多數(shù)公司將繼續(xù)向新的解決方案投入資金，而不清楚自己的安全狀況是否有所改善。事實(shí)上，許多組織缺乏有意義的指標(biāo)來(lái)衡量其投資是否有任何回報(bào)。

 因此，衡量的指標(biāo)必須是安全運(yùn)作的首要任務(wù)。實(shí)現(xiàn)這一目標(biāo)的指標(biāo)需要側(cè)重于降低風(fēng)險(xiǎn)。公司需要有一個(gè)堅(jiān)實(shí)的概念，知道他們?cè)跒槊恳粋€(gè)安全元素做預(yù)算時(shí)試圖保護(hù)什么，以及為什么要這樣做。

 企業(yè)需要確定哪些業(yè)務(wù)功能受到違規(guī)行為的影響最大，以及此類事件對(duì)業(yè)務(wù)運(yùn)營(yíng)的影響?；谶@種理解，企業(yè)可以逆向工作，構(gòu)建一個(gè)安全戰(zhàn)略，以緩解這些高優(yōu)先級(jí)風(fēng)險(xiǎn)。

 對(duì)于其他業(yè)務(wù)要素，企業(yè)知道當(dāng)其運(yùn)營(yíng)中的某個(gè)要素明顯會(huì)虧損時(shí)，應(yīng)調(diào)整哪些杠桿。有些風(fēng)險(xiǎn)可以緩解，有些風(fēng)險(xiǎn)可以接受，有些風(fēng)險(xiǎn)則可以轉(zhuǎn)移——同樣的思維過(guò)程也需要應(yīng)用于網(wǎng)絡(luò)安全。

企業(yè)文化和問(wèn)責(zé)制是關(guān)鍵

 隨著公司對(duì)其網(wǎng)絡(luò)風(fēng)險(xiǎn)優(yōu)先事項(xiàng)的認(rèn)識(shí)不斷提高，他們也應(yīng)該熟悉自己的成熟度水平。這不是一個(gè)單一的衡量標(biāo)準(zhǔn)，而是適用于每一個(gè)核心基礎(chǔ)——企業(yè)文化、問(wèn)責(zé)制、流程、資源、自動(dòng)化和衡量。

企業(yè)在一個(gè)領(lǐng)域的網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)用可能比另一個(gè)領(lǐng)域更成熟。也許它已經(jīng)建立了成功的自動(dòng)化，但缺乏問(wèn)責(zé)制?；蛘叻粗嗳弧?/span>

 雖然某些業(yè)務(wù)方面更容易定義，但其他方面則更模糊。在安全方面，文化往往是一個(gè)模糊的概念，在特定的安全角色之外，問(wèn)責(zé)制也往往沒(méi)有定義。

 這里一個(gè)有用的方法是在整個(gè)組織中建立與安全相關(guān)的各種角色，并為每個(gè)角色創(chuàng)建一個(gè)文化記分卡。更重要的利益相關(guān)者，如執(zhí)行領(lǐng)導(dǎo)層，應(yīng)該具有更高的成熟度水平，而對(duì)更一般的員工來(lái)說(shuō)，這并不重要。如果一個(gè)部門的成熟度和責(zé)任感明顯低于您所需的水平，那么是時(shí)候開(kāi)始實(shí)施培訓(xùn)等措施來(lái)改善情況了。

 適應(yīng)商業(yè)文化從來(lái)不是一個(gè)快速解決方案，因此企業(yè)應(yīng)該預(yù)計(jì)這是一個(gè)漸進(jìn)的過(guò)程，至少需要12-18個(gè)月。

與此同時(shí)，企業(yè)可以開(kāi)始實(shí)施可靠的指標(biāo)，以有效跟蹤其解決方案的投資回報(bào)率（ROI）。安全關(guān)鍵績(jī)效指標(biāo)（KPI）應(yīng)以非技術(shù)領(lǐng)導(dǎo)層和利益相關(guān)者能夠理解的方式與業(yè)務(wù)影響緊密相關(guān)。

 平均分辨時(shí)間（MTTR）是最有用的例子之一。在網(wǎng)絡(luò)環(huán)境中，這意味著從識(shí)別威脅或漏洞到關(guān)閉它之間的時(shí)間。但它在其他業(yè)務(wù)問(wèn)題的更廣泛背景下也得到了很好的理解。

打破網(wǎng)絡(luò)安全支出循環(huán)

 很明顯，面對(duì)同樣飛漲的安全風(fēng)險(xiǎn)，飛漲的網(wǎng)絡(luò)安全支出是不夠的。這種方法是不可持續(xù)的——特別是隨著業(yè)務(wù)技術(shù)本身在過(guò)去幾年中隨著云遷移和遠(yuǎn)程工作等因素的迅速變化。

 套用愛(ài)因斯坦的話：我們不能用我們創(chuàng)造問(wèn)題時(shí)使用的那種思維來(lái)解決問(wèn)題。

 企業(yè)需要后退一步，開(kāi)始運(yùn)營(yíng)其信息安全性，而不僅僅是再增加一年的預(yù)算。是通過(guò)追蹤網(wǎng)絡(luò)安全與核心業(yè)務(wù)基礎(chǔ)的聯(lián)系，企業(yè)可以開(kāi)始確保其投資在降低風(fēng)險(xiǎn)敞口方面取得了真正的成效。