改善網(wǎng)絡安全文化:CISO的優(yōu)先事項
培育強大的網(wǎng)絡安全文化被業(yè)內人士視為創(chuàng)建強大而健康的安全計劃的基本要素,然而,TechTarget的企業(yè)戰(zhàn)略小組和信息系統(tǒng)安全協(xié)會(ISSA)最近的研究發(fā)現(xiàn),許多CISO認為,公司在其組織內建立適當?shù)木W(wǎng)絡安全文化方面還有很長的路要走。
究竟什么是網(wǎng)絡安全文化?歐洲聯(lián)盟網(wǎng)絡和信息安全局(ENISA)提供了以下定義:
“網(wǎng)絡安全文化(CSC)的概念是指人們關于網(wǎng)絡安全的知識、信念、感知、態(tài)度、假設、規(guī)范和價值觀,以及它們如何體現(xiàn)在人們使用信息技術的行為中。CSC涵蓋了熟悉的主題,包括網(wǎng)絡安全意識和信息安全框架,但在范圍和應用方面都更廣泛,致力于將信息安全考慮作為員工工作、習慣和行為的組成部分,并將其嵌入到他們的日常行動中。”
換句話說,網(wǎng)絡安全文化促進網(wǎng)絡安全成為實現(xiàn)組織總體使命的必要組成部分。事實上,研究顯示,CISO認為網(wǎng)絡安全文化與威脅預防、檢測和響應方面的安全最佳實踐有著不可阻擋的聯(lián)系。當被問及如何從整體上改進組織的網(wǎng)絡安全計劃時,60%的受訪CISO表示,他們應該努力在整個組織內創(chuàng)建更好的網(wǎng)絡安全文化,而其他受訪者中這一比例為42%。
值得注意的是,CISO還認為,通過讓高管和董事會更多地參與網(wǎng)絡安全決策和監(jiān)督,增加網(wǎng)絡安全預算,以及改善安全衛(wèi)生和態(tài)勢管理-所有這些都是強大的網(wǎng)絡安全文化的組成部分,他們的網(wǎng)絡安全計劃可以得到改善。
大多數(shù)CISO認為需要改善網(wǎng)絡安全文化
這些數(shù)據(jù)還指向了未來的工作。雖然超過三分之一(36%)的CISO將其組織的網(wǎng)絡安全文化評價為先進(略高于所有其他受訪者),但34%的CISO認為其網(wǎng)絡安全文化水平為平均水平。令人擔憂的是,30%的受訪者幾乎沒有這么積極,他們將組織的網(wǎng)絡安全文化評為公平或糟糕。
鑒于網(wǎng)絡安全文化的重要性,數(shù)據(jù)似乎表明首席信息官與其他企業(yè)高管之間存在脫節(jié)。不幸的是,這似乎是CISO的一種職業(yè)危險。當被問及他們是否曾在故意忽視安全最佳實踐或合規(guī)要求的組織工作時,超過三分之二(68%)的CISO回答說他們至少為一個這樣的組織工作過,而所有其他受訪者的這一比例為57%。
CISO希望企業(yè)高管和他們自己的團隊在網(wǎng)絡安全方面發(fā)揮更大的領導作用
作為調查的一部分,受訪者被要求就他們的組織如何改善他們的網(wǎng)絡安全文化提出建議。雖然CISO的建議通常與其他網(wǎng)絡安全專業(yè)人員相似,但CISO的回應在某些領域很突出。例如,CISO希望安全團隊參與所有業(yè)務規(guī)劃,以便他們可以構建威脅模型并實施正確的控制,他們還希望業(yè)務經(jīng)理對其業(yè)務部門內的網(wǎng)絡安全承擔更多責任,使他們在安全團隊的支持下成為偽業(yè)務信息安全官(BISO),這可能有點技能限制,但可以肯定地說,CISO希望與業(yè)務經(jīng)理達成妥協(xié),使特定的業(yè)務流程與正確的風險緩解、網(wǎng)絡防御和監(jiān)控監(jiān)督保持一致。
總體而言,CISO建議組織的其他成員,特別是高管和董事會,更加認真地對待網(wǎng)絡安全。值得注意的是,CISO并不是簡單地將文化缺陷歸咎于他人。事實上,40%的受訪者希望提高員工與公司董事會在指導這些變革方面的參與度。僅此一點就說明了CISO對其使命的獻身精神。
顯然,網(wǎng)絡安全文化有賴于企業(yè)高管的強有力領導。不幸的是,數(shù)據(jù)表明,CISO和公司董事會之間的關系是復雜的。當被問及如何描述他們與董事會的工作關系時,40%的CISO說一般或差——這是一種有害和危險的情況。為了糾正這一點,60%的CISO建議增加CISO與執(zhí)行管理層和公司董事會的參與,包括參與所有業(yè)務規(guī)劃和戰(zhàn)略。
企業(yè)戰(zhàn)略組織和ISSA的研究揭示了兩個相反和令人擔憂的情況:
- 信息和通信技術組織認為,強大的網(wǎng)絡安全文化是一種最佳做法,可以極大地幫助他們完成及時、有效地預防、發(fā)現(xiàn)和應對網(wǎng)絡威脅的任務。
- 許多組織的網(wǎng)絡安全文化滯后于它應該(和需要)的水平。
雖然CISO似乎已經(jīng)準備好充當變革推動者,但他們可能會在推動這一事業(yè)方面獲得一些外部幫助。SEC最新的網(wǎng)絡安全風險管理規(guī)則、紐約州金融服務部規(guī)則(23 NYCRR 500)以及歐盟即將發(fā)布的NIS2指令等新法規(guī)對企業(yè)提出了額外的網(wǎng)絡安全要求,包括董事會/高管的責任和網(wǎng)絡安全文化要求。
可以肯定的是,在持續(xù)的網(wǎng)絡威脅、經(jīng)濟損失和這些新法規(guī)之間,許多企業(yè)將把改善網(wǎng)絡安全文化作為2024年及以后的優(yōu)先事項。
