讓安全部門更高效的七個因素
譯文應用網絡安全研究所(IANS)對ISC-Squared的80個成員所作的抽樣調查發現,組織成員在技術才能方面得分很高,但是在組織參與方面稍落后于IANS對1000個對象所作的更廣泛的抽樣調查。
技術才能側重于部署的具體安全產品和服務,而組織參與是指公司針對信息安全如何與業務步調一致所落實的流程。
IANS的***研究官Stan Dolberg和IANS***執行官Phil Gardner在近日于奧蘭多召開的ISC-Squared安全大會上介紹了上述調查結果。
Gardner補充道,隨著***信息安全官(CISO)與企業里面的更多小組和部門進行聯系,組織參與的重要性會與日俱增。
Gardner說:“我們發現,向企業的其他部門間接匯報的現象越來越多。ISC-Squared組織成員中約80%向IT部門之外的部門進行某種匯報。”
IANS把組織參與分為七個因素。本文列出了這七個因素,并介紹了ISC-Squared的成員相比更廣泛的成員情況如何。
***個因素:獲得事實的控制權。
通過獲得事實的控制權,ISC-Squared的成員按CISO和團隊執行下列工作的方式來打分:識別所使用的威脅和風險數據的種類;識別那些資產和流程面臨的威脅和風險;對照那樣風險,評估控制機制的強度;并與高層管理班子就那些評估達成共識。
此外,IANS衡量CISO在多大程度上將該信息與來自公司遇到的事件的數據聯系起來,衡量它們是否對該數據建模、開發預測模型。IANS還密切分析了公司是否驗證了那些預測模型,它們是否開發了一種規劃工具,以便CISO用來幫助識別新的業務項目面臨的潛在風險。
相比1000個對象的總體數據集,表現***的ISC-Squared調查對象在三項標準中的兩項得分偏低。
第二個因素:讓業務領導人負責風險。
IANS表示,CISO部門是為了幫助高層管理班子管理信息安全風險而設立的。但是CISO部門無法“負責”所有風險。
新的業務項目帶來了新的風險;相比CISO負責所有的信息安全風險,讓業務負責人管控那些風險、并讓他們對此負責有助于帶來更高效的交互、更及時的風險評估。
這里有幾個想法:Dolberg表示,雖然不是常態,但一些企業現正在把薪酬與業務部門在信息安全問題上的表現實行掛鉤。業務部門在信息安全方面所負的責任越大,薪酬就越高。許多公司還在模擬信息安全事件,那樣業務工作人員就能更廣泛地了解問題。
相對總體數據集,表現***的ISC-Squared調查對象在讓業務部門負責風險的四個標準方面中的三個得分較高,尤其是利用模擬獲得高層的認可,以及制定明確的風險監管政策。
第三個因素:把信息安全融入到關鍵的業務流程。
這個因素著眼于CISO和團隊在多大程度上把信息安全風險評估融入到重要流程中,而這些流程帶來了新的應用程序、系統、產品、市場玩家、依賴第三方的托管服務或云部署。
ISC-Squared的抽樣對象在選擇廠商方面做得很好。把安全融入廠商選擇意味著,向法務部門和采購部門提供信息安全信息,那樣它們知道在與新廠商簽署合同時提什么樣的問題。就ISC-Squared的抽樣對象而言,如果廠商想把產品賣給其企業,信息安全肯定是考慮標準的重要部分。
相對總體數據集,表現***的ISC-Squared調查對象在融入信息安全的四個標準中的三個得分較低。然而,它們在把安全融入廠商選擇方面得分較高。
第四個因素:像運作公司那樣運作信息安全。
IANS發現,想要博得企業領導層的信任,有必要像運作公司那樣運作CISO部門。
IANS在預算編制、人事管理和項目管理等方面評估了ISC-Squared的成員。ISC-Squared組織成員在項目管理方面做得很好,其他任務方面基本上不相上下,這不足為奇。
ISC-Squared的成員能夠證明可以熟練、靈活地利用資源,包括管理顧問和合同工。它們還能提議項目、配備人手,并按時、按預算完成項目。
相比總體數據集當中的表現出眾者,表現***的ISC-Squared調查對象在運作公司那樣運作信息安全部門方面與總體數據集不相上下。
第五個因素:打造精通技術和業務的團隊。
就這個因素而言,ISC-Squared組織成員組在使用圍繞技術、業務和人際技能而打造的能力模型方面的得分低于總體數據集,在培訓管理層的領導力方面得分低一點。
IANS表示,ISC-Squared組織成員需要更好地專注于制定能不斷發展、代言CISO的團隊的計劃,同時專注于計劃項目以及突出出現的事件。
第六個因素:傳達信息安全的價值。
這個方面的成功取決于CISO如何向業務部門清楚地傳達了信息安全的價值,以便能夠被其余工作人員所體會。
CISO需要了解業務的方方面面。從調查結果來看,ISC-Squared抽樣對象很顯然能夠向銷售、軟件開發和后勤等業務部門非常具體地描述安全要求。
ISC-Squared組織成員在這方面表現很好,尤其是傳達信息安全的價值,尤其是利益相關者互動方面。
第七個因素:成功的組織方式。
信息安全脫胎于IT,但是這個職能部門演進的方式影響的不僅僅是IT。雖然還沒有成為一股潮流,但是更多的CISO現在向風險部門、財務部門和法務部門匯報。一些甚至聽命于CEO。
***大、最成功的公司會設有與公司里面盡可能多的部門和小組有溝通渠道的CISO部門。ISC-Squared抽樣對象在以下兩個方面與數據集其余部分不相上下,甚至更勝一籌:CISO向技術部門之外的部門間接匯報以及聯系高層管理人員。
