企業高管對網絡安全缺乏認知責任主要在CISO?
別再一味地向C級高管灌輸“網絡安全”概念,先集中精力讓他們了解什么是“網絡彈性”吧。
網絡彈性(cyber resilience)也稱為運維彈性(operational resilience),是指網絡在遇到災難事件時快速恢復和繼續運行的能力。災難事件的范疇很廣泛,比如長時間停電、網絡設備故障、惡意入侵和技術新人不小心在服務器上灑了咖啡等等。當我們在處理一些可能導致系統和公司業務崩潰且完全未知的運營變數時,網絡彈性可以保持網絡的正常運行。
一家CISO和商業顧問公司總結稱,企業領導者之所以一直未能理解網絡安全問題所帶來的風險大小和類型,主要還得歸咎于網絡安全團隊。
該CISO咨詢公司的首席執行官兼創始人Phillimon Zongo,在最近的ISACA OceaniaCACS會議上發表了關于網絡彈性問題的演講,并表示,董事會成員和高級商業領袖對參與網絡安全決策的興趣肯定會越來越高,但是他們中的很多人仍然在“興趣高漲卻認識有限”的困境中苦苦掙扎。
造成這一困境的原因固然是雙方面的,但是主要責任方還是網絡安全團隊。因為對于他們來說,如何向不懂專業術語的高管們傳達網絡安全問題,并將網絡安全問題與關鍵業務需求相結合,仍然是一個巨大的挑戰。由于安全團隊上報安全問題的方式不當,導致商業領袖并未能真正地了解他們的(業務)風險是什么,以及他們需要做些什么才能改善這些風險等等。
根據ISACA最近進行的一項調查發現,只有54%的ANZ(澳新銀行)商業技術專業人士認為他們公司的領導者具備數字化文化。
第二個問題在于“不斷擴展的網絡安全攻擊面”,這種現象主要歸咎于外包業務的增長,以及這些第三方服務商所引入的未經檢測的安全漏洞。
安全專家表示,如果貴公司已經外包了數百個項目,擁有了數百個第三方服務商,那么再想要具備一個強大到足夠保護自身安全的防護項目就是很難實現的事了。
此外,ISACA調查還發現,數字化轉型的步伐也呈現非常復雜的局面,因為根據調查顯示只有不到1/4的受訪者認為他們組織的高級管理者非常愿意采用新興技術——這也使得改善網絡安全的努力變得異常艱難。
如今,應用程序、數據以及業務流程統統都被遷移至了基于云的平臺上,但企業通常并不具備管理這些新環境所必需的合適技能的員工——這進一步加劇了CISO轉型(將網絡安全與業務安全相協調)的難度,同時也損害了他們與高級領導者進行有意義討論的能力。
新環境催生新思維
雖然CISO們主要處理技術問題,但企業領導者更多的則是關注服務交付和流程等問題——而且他們的網絡安全投資需要通過將焦點從“保護心態”轉移到基于確保網絡彈性的強大機制上來反映這一點。
如今,越來越多的企業已經意識到,一旦他們成為“厲害角色”(組織有素且技能超群)的攻擊目標,他們早晚會受到攻擊破壞。問題在于,一旦出現了這種情況,他們應該如何迅速地恢復其關鍵系統,以便最大限度地降低對股東、客戶以及員工的后續影響呢?
目前,想要解決這一問題是十分困難的,因為大多數公司仍在試圖解決IT領域內網絡安全漏洞對業務的影響:我們幾乎每周所聽到的一些規模龐大的數據泄露事件數量已經清楚地表明,之前在IT領域內管理此類風險的模型已經宣告失敗,不再適應當前的網絡安全環境。
大多數企業確實在網絡安全方面投入了大量資金,但事實上,這些錢并不一定花在了正確的事情上。
規模較小的企業在解決這些問題方面面臨著尤為艱巨的挑戰,因為他們的資源本就十分有限,且長期的網絡安全技能短缺通常也使他們難以獲取所需的網絡彈性技能。
這使得許多小型企業的IT組織無法推動重新構建網絡安全對話所需的思維轉型(將焦點從“保護心態”轉移到基于確保網絡彈性的強大機制上)——更困難的是,該對話通常是圍繞“組織可以通過接受來自NIST,ISO等的龐大標準來解決其彈性問題”的想法而構建的。
如果您嘗試在小型企業中使用這些思維模型,該框架可能會壓得安全團隊喘不過氣來。因為在這種規模的企業中,網絡安全團隊通常只會配置1到3名員工,想要依靠如此有限的資源來減輕威脅勢必是“沒開始就注定失敗”的策略。
企業需要重新思考自身的網絡安全策略并評估自身的網絡安全成熟度,以便清楚地了解自身的優勢和劣勢在哪里——ISACA于2016年所收購的CMMI Institute就能提供這樣一種合適的成熟度模型。據悉,CMMI Institute是能力成熟度集成模型(CMMI)的管理機構,CMMI是全球廣泛使用的能力改善框架,能夠幫助機構實現高績效運營。CMMI Institute為各大機構提供工具和支持,將其運營與最佳實踐相比較,并發現績效差距,從而藉此衡量其能力并打造成熟度。
如今,威脅行為者的攻擊能力與我們的防守能力之間的差距正在不斷擴大,因為我們的曝光度和攻擊面都已經遠勝從前。但是一旦你了解了什么才是關鍵所在,你就可以將這些資源集中在圍繞這些資產所實施的關鍵控制措施上,做到有的放矢。
ISACA調查報告原文地址:
https://www.cso.com.au/mediareleases/32864/isaca-research-only-4-in-10-tech-professionals/
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
