企业常常觉得自己需要更合适的解决方案,而网络安全供应商则认为需要更多资源来有效实现和尽量利用这些解决方案。此外,董事会和高管对这些解决方案是否有效表示怀疑,因为他们要么需要帮助才能掌握自家企业的真实网络安全状况,要么感到自己的投资回报仍未得到充分反映。
上述的所有这些情况都存在。但我们需要停止相互指责,真正开始讨论正事。
显然,利益相关各方之间的这种脱节凸显出我们迫切需要改善沟通,深入了解网络安全对企业内各层级的价值和影响。
澳大利亚关键基础设施风险管理计划(CIRMP)旨在提升重要关键基础设施资产相关的核心安全实践,将要求特定行业的企业制定正式的风险管理计划,识别并管理“实质性风险”或可对关键基础设施资产造成“重大影响”的“危险”。随着该规则的生效,企业很快会受到监管,有一年的时间来实施其风险管理计划并向政府提交经董事会批准的年度报告。
考虑到这一点,提升网络韧性应成为所有利益相关方的重中之重,我们不应该把时间浪费在相互指责上,而应该采取正确的措施来推动企业内部的行动。我们的共同目标是改善企业的网络安全态势,确定要投资的正确解决方案,并有效实施这些方案,从而不仅仅符合新的监管规定,避免失策遭致惨痛代价,还要最终保护好企业。
01
采取基于风险的方法
想要加强企业的网络安全态势,不妨从评估现有安全措施并确保其匹配业务风险着手。识别关键资产并确定哪些资产对企业而言最重要和最易受攻击,这样方可专注于有效防止潜在漏洞。
企业可以根据漏洞对业务构成的风险优先修复关键漏洞,从而实现安全的显著提升。
有合适的工具评估并减少风险资产也可使CISO能够证明安全策略对企业整体安全状况的改善,并向董事会和业务高管提供明确的信息,使安全策略贴合业务目标。
这种基于风险的主动式方法可以增强企业的网络安全韧性,保护企业免遭潜在威胁侵害。
02
整合是前进的方向
企业努力优化其网络安全工具,但限于资源、技术和时间,往往难以有效管理这些工具。中小企业平均管理大约8到10个安全工具,而大型企业则要应付40到60个工具之多。很明显,采用这种方法很快就会变得无法管理,市场也已经开始意识到这一点了。
而采用将核心功能集成到少数安全平台的整合方法,企业可收获的好处不仅仅是单纯减少工具总数,比如从40个工具转向更加实用的4个工具。
首先,整合能够创建高效的安全工作流程,提供环境的全面视图,凭借单一可信来源推进安全工作。这就使得检测和缓解风险更加简单,因为集中了所有必要信息。此外,在整合工具集中可以跨技术栈自动化各项任务,能够带来更好的管理。这意味着以往需要花费大量时间的任务如今都可以实现自动化,IT或安全团队可以从繁琐的任务中解脱出来,从事其他关键安全任务。
以上种种益处最终都有助于提高投资回报率(ROI)。而有了简化的工作流程和自动化任务的能力,安全工作也可以变得更加高效。因此,这很大程度上提高了企业网络安全投资的价值,网络安全价值的提升又反过来支撑了与董事会的关键沟通。
以漏洞管理和合规解决方案SaaS服务提供商Qualys的客户Illion为例。面对庞大工具集和远程员工队伍的复杂性,Illion成功简化了其设置,形成了可带来巨大投资回报的整合方法。Illion获得了对其资产管理的全面可见性(这在之前是无法达成的),并且集成了漏洞扫描功能,实现了基于风险的关键漏洞识别、排序和修复。仅仅通过自动化这一过程,达成了从数日手动操作到数小时自动完成的转变。
由于不存在通用的“超级”安全工具,企业可能还希望与托管安全服务提供商(MSSP)合作,从而有效解决其特定安全需求。
MSSP可以弥补某些专业技能,化解管理和维护安全工具的复杂性。随着整合趋势扩展至服务提供商,这一点尤为重要。纳入MSSP为企业提供了增强其团队的机会,让企业无需直接投资和管理就能够填补有效利用整合能力所需的资源和技术缺口。随着MSSP转向提供建立在整合平台基础上的服务,随着他们摒弃黑盒封装多个未集成安全功能的老模式,这种情况变得越来越普遍。
这些策略无不昭示着我们应该越过相互指责,真正开始干正事,着手采取这些积极主动的措施来加强企业的网络安全态势。
* 本文为nana编译,原文地址:https://www.cyberdaily.au/strategy/9582-op-ed-the-blame-game
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
