為什么我們認為屬于網絡安全的時代已經過去了？

企業(yè)在網絡安全方面的投資比以往任何時候都多，但我們也看到了創(chuàng)紀錄的違規(guī)數量。據報道，去年有51億多條個人信息被盜，平均違規(guī)成本已攀升至435萬美元。

 網絡安全威脅行為者變善良了嗎？或者這是一個商業(yè)失敗？

 不可否認，網絡罪犯已經變得更有組織，更先進的工具和戰(zhàn)術越來越容易使用。但所有這些數十億美元沒有對違規(guī)數量產生影響的真正原因是，資金往往沒有以正確的方式使用。

 有一個巨大的高質量解決方案市場正在尋找解決網絡安全問題的方法，但簡單地向它們投入資金最終不會改變安全狀況。必須正確實施解決方案才能真正幫助解決問題。

 這就是安全操作概念的由來。

 將安全性與核心業(yè)務基礎聯(lián)系起來

 每個企業(yè)都需要在幾個核心業(yè)務的基礎上取得成功。

 這包括商業(yè)文化——將所有人聚集在一起并使他們愿意在那里工作的一套價值觀——以及每個人對自己的角色所承擔的責任。

 然后是業(yè)務運營的流程，以及支持這些流程的資源——所有這些都越來越容易通過自動化實現(xiàn)。最后，所有業(yè)務活動都需要產生可測量的輸出。

 所有這些結合在一起形成了組織的戰(zhàn)略，像一顆北極星，它賦予了組織目標并確定了其方向。

 網絡安全是一個獨特的命題，因為它與這些核心基礎中的每一個業(yè)務都有聯(lián)系。最終，除非具備這些要素，否則任何安全戰(zhàn)略都不可能成功。

 使網絡安全符合業(yè)務指標

 實現(xiàn)網絡安全的第一步是開始像其他商業(yè)投資一樣思考網絡安全。不幸的是，網絡消費幾乎是隨機的，沒有目標。當然，這也意味著對績效和結果的有效衡量很少。

 很難想象其他任何商業(yè)元素會以這種方式運作，特別是在支出持續(xù)增長的情況下。

想象一下，一位銷售總監(jiān)要求將團隊人數增加一倍，但一年后這項投資并未帶來任何收入增長。大多數公司都會立即讓銷售總監(jiān)離開。

 然而，在網絡安全方面，大多數公司將繼續(xù)向新的解決方案投入資金，而不清楚自己的安全狀況是否有所改善。事實上，許多組織缺乏有意義的指標來衡量其投資是否有任何回報。

 因此，衡量的指標必須是安全運作的首要任務。實現(xiàn)這一目標的指標需要側重于降低風險。公司需要有一個堅實的概念，知道他們在為每一個安全元素做預算時試圖保護什么，以及為什么要這樣做。

 企業(yè)需要確定哪些業(yè)務功能受到違規(guī)行為的影響最大，以及此類事件對業(yè)務運營的影響?；谶@種理解，企業(yè)可以逆向工作，構建一個安全戰(zhàn)略，以緩解這些高優(yōu)先級風險。

 對于其他業(yè)務要素，企業(yè)知道當其運營中的某個要素明顯會虧損時，應調整哪些杠桿。有些風險可以緩解，有些風險可以接受，有些風險則可以轉移——同樣的思維過程也需要應用于網絡安全。

企業(yè)文化和問責制是關鍵

 隨著公司對其網絡風險優(yōu)先事項的認識不斷提高，他們也應該熟悉自己的成熟度水平。這不是一個單一的衡量標準，而是適用于每一個核心基礎——企業(yè)文化、問責制、流程、資源、自動化和衡量。

企業(yè)在一個領域的網絡風險應用可能比另一個領域更成熟。也許它已經建立了成功的自動化，但缺乏問責制?；蛘叻粗嗳?。

 雖然某些業(yè)務方面更容易定義，但其他方面則更模糊。在安全方面，文化往往是一個模糊的概念，在特定的安全角色之外，問責制也往往沒有定義。

 這里一個有用的方法是在整個組織中建立與安全相關的各種角色，并為每個角色創(chuàng)建一個文化記分卡。更重要的利益相關者，如執(zhí)行領導層，應該具有更高的成熟度水平，而對更一般的員工來說，這并不重要。如果一個部門的成熟度和責任感明顯低于您所需的水平，那么是時候開始實施培訓等措施來改善情況了。

 適應商業(yè)文化從來不是一個快速解決方案，因此企業(yè)應該預計這是一個漸進的過程，至少需要12-18個月。

與此同時，企業(yè)可以開始實施可靠的指標，以有效跟蹤其解決方案的投資回報率（ROI）。安全關鍵績效指標（KPI）應以非技術領導層和利益相關者能夠理解的方式與業(yè)務影響緊密相關。

 平均分辨時間（MTTR）是最有用的例子之一。在網絡環(huán)境中，這意味著從識別威脅或漏洞到關閉它之間的時間。但它在其他業(yè)務問題的更廣泛背景下也得到了很好的理解。

打破網絡安全支出循環(huán)

 很明顯，面對同樣飛漲的安全風險，飛漲的網絡安全支出是不夠的。這種方法是不可持續(xù)的——特別是隨著業(yè)務技術本身在過去幾年中隨著云遷移和遠程工作等因素的迅速變化。

 套用愛因斯坦的話：我們不能用我們創(chuàng)造問題時使用的那種思維來解決問題。

 企業(yè)需要后退一步，開始運營其信息安全性，而不僅僅是再增加一年的預算。是通過追蹤網絡安全與核心業(yè)務基礎的聯(lián)系，企業(yè)可以開始確保其投資在降低風險敞口方面取得了真正的成效。