為(wèi)什麽我們認為(wèi)屬于網絡安全的(de)時(shí)代已經過去(qù)了？

企業(yè)在網絡安全方面的(de)投資比以往任何時(shí)候都(dōu)多，但(dàn)我們也看(kàn)到了創紀錄的(de)違規數量。據報道(dào)，去(qù)年(nián)有(yǒu)51億多條個(gè)人(rén)信息被盜，平均違規成本已攀升至435萬美(měi)元。

 網絡安全威脅行為(wèi)者變善良了嗎(ma)？或者這(zhè)是一個(gè)商業(yè)失敗？

 不可否認，網絡罪犯已經變得更有(yǒu)組織，更先進的(de)工(gōng)具和(hé)戰術越來(lái)越容易使用。但(dàn)所有(yǒu)這(zhè)些數十億美(měi)元沒有(yǒu)對(duì)違規數量産生(shēng)影響的(de)真正原因是，資金(jīn)往往沒有(yǒu)以正确的(de)方式使用。

 有(yǒu)一個(gè)巨大的(de)高(gāo)質量解決方案市(shì)場(chǎng)正在尋找解決網絡安全問(wèn)題的(de)方法，但(dàn)簡單地(dì)向它們投入資金(jīn)最終不會改變安全狀況。必須正确實施解決方案才能真正幫助解決問(wèn)題。

 這(zhè)就是安全操作(zuò)概念的(de)由來(lái)。

 将安全性與核心業(yè)務基礎聯系起來(lái)

 每個(gè)企業(yè)都(dōu)需要在幾個(gè)核心業(yè)務的(de)基礎上(shàng)取得成功。

 這(zhè)包括商業(yè)文(wén)化(huà)——将所有(yǒu)人(rén)聚集在一起并使他(tā)們願意在那(nà)裏工(gōng)作(zuò)的(de)一套價值觀——以及每個(gè)人(rén)對(duì)自(zì)己的(de)角色所承擔的(de)責任。

 然後是業(yè)務運營的(de)流程，以及支持這(zhè)些流程的(de)資源——所有(yǒu)這(zhè)些都(dōu)越來(lái)越容易通(tōng)過自(zì)動化(huà)實現(xiàn)。最後，所有(yǒu)業(yè)務活動都(dōu)需要産生(shēng)可測量的(de)輸出。

 所有(yǒu)這(zhè)些結合在一起形成了組織的(de)戰略，像一顆北極星，它賦予了組織目标并确定了其方向。

 網絡安全是一個(gè)獨特的(de)命題，因為(wèi)它與這(zhè)些核心基礎中的(de)每一個(gè)業(yè)務都(dōu)有(yǒu)聯系。最終，除非具備這(zhè)些要素，否則任何安全戰略都(dōu)不可能成功。

 使網絡安全符合業(yè)務指标

 實現(xiàn)網絡安全的(de)第一步是開(kāi)始像其他(tā)商業(yè)投資一樣思考網絡安全。不幸的(de)是，網絡消費(fèi)幾乎是随機(jī)的(de)，沒有(yǒu)目标。當然，這(zhè)也意味着對(duì)績效和(hé)結果的(de)有(yǒu)效衡量很(hěn)少。

 很(hěn)難想象其他(tā)任何商業(yè)元素會以這(zhè)種方式運作(zuò)，特别是在支出持續增長(cháng)的(de)情況下(xià)。

想象一下(xià)，一位銷售總監要求将團隊人(rén)數增加一倍，但(dàn)一年(nián)後這(zhè)項投資并未帶來(lái)任何收入增長(cháng)。大多數公司都(dōu)會立即讓銷售總監離開(kāi)。

 然而，在網絡安全方面，大多數公司将繼續向新的(de)解決方案投入資金(jīn)，而不清楚自(zì)己的(de)安全狀況是否有(yǒu)所改善。事(shì)實上(shàng)，許多組織缺乏有(yǒu)意義的(de)指标來(lái)衡量其投資是否有(yǒu)任何回報。

 因此，衡量的(de)指标必須是安全運作(zuò)的(de)首要任務。實現(xiàn)這(zhè)一目标的(de)指标需要側重于降低(dī)風(fēng)險。公司需要有(yǒu)一個(gè)堅實的(de)概念，知道(dào)他(tā)們在為(wèi)每一個(gè)安全元素做預算(suàn)時(shí)試圖保護什麽，以及為(wèi)什麽要這(zhè)樣做。

 企業(yè)需要确定哪些業(yè)務功能受到違規行為(wèi)的(de)影響最大，以及此類事(shì)件(jiàn)對(duì)業(yè)務運營的(de)影響。基于這(zhè)種理(lǐ)解，企業(yè)可以逆向工(gōng)作(zuò)，構建一個(gè)安全戰略，以緩解這(zhè)些高(gāo)優先級風(fēng)險。

 對(duì)于其他(tā)業(yè)務要素，企業(yè)知道(dào)當其運營中的(de)某個(gè)要素明(míng)顯會虧損時(shí)，應調整哪些杠杆。有(yǒu)些風(fēng)險可以緩解，有(yǒu)些風(fēng)險可以接受，有(yǒu)些風(fēng)險則可以轉移——同樣的(de)思維過程也需要應用于網絡安全。

企業(yè)文(wén)化(huà)和(hé)問(wèn)責制是關鍵

 随着公司對(duì)其網絡風(fēng)險優先事(shì)項的(de)認識不斷提高(gāo)，他(tā)們也應該熟悉自(zì)己的(de)成熟度水(shuǐ)平。這(zhè)不是一個(gè)單一的(de)衡量标準，而是适用于每一個(gè)核心基礎——企業(yè)文(wén)化(huà)、問(wèn)責制、流程、資源、自(zì)動化(huà)和(hé)衡量。

企業(yè)在一個(gè)領域的(de)網絡風(fēng)險應用可能比另一個(gè)領域更成熟。也許它已經建立了成功的(de)自(zì)動化(huà)，但(dàn)缺乏問(wèn)責制。或者反之亦然。

 雖然某些業(yè)務方面更容易定義，但(dàn)其他(tā)方面則更模糊。在安全方面，文(wén)化(huà)往往是一個(gè)模糊的(de)概念，在特定的(de)安全角色之外(wài)，問(wèn)責制也往往沒有(yǒu)定義。

 這(zhè)裏一個(gè)有(yǒu)用的(de)方法是在整個(gè)組織中建立與安全相(xiàng)關的(de)各種角色，并為(wèi)每個(gè)角色創建一個(gè)文(wén)化(huà)記分卡。更重要的(de)利益相(xiàng)關者，如執行領導層，應該具有(yǒu)更高(gāo)的(de)成熟度水(shuǐ)平，而對(duì)更一般的(de)員(yuán)工(gōng)來(lái)說(shuō)，這(zhè)并不重要。如果一個(gè)部門的(de)成熟度和(hé)責任感明(míng)顯低(dī)于您所需的(de)水(shuǐ)平，那(nà)麽是時(shí)候開(kāi)始實施培訓等措施來(lái)改善情況了。

 适應商業(yè)文(wén)化(huà)從(cóng)來(lái)不是一個(gè)快速解決方案，因此企業(yè)應該預計(jì)這(zhè)是一個(gè)漸進的(de)過程，至少需要12-18個(gè)月(yuè)。

與此同時(shí)，企業(yè)可以開(kāi)始實施可靠的(de)指标，以有(yǒu)效跟蹤其解決方案的(de)投資回報率（ROI）。安全關鍵績效指标（KPI）應以非技(jì)術領導層和(hé)利益相(xiàng)關者能夠理(lǐ)解的(de)方式與業(yè)務影響緊密相(xiàng)關。

 平均分辨時(shí)間(jiān)（MTTR）是最有(yǒu)用的(de)例子(zǐ)之一。在網絡環境中，這(zhè)意味着從(cóng)識别威脅或漏洞到關閉它之間(jiān)的(de)時(shí)間(jiān)。但(dàn)它在其他(tā)業(yè)務問(wèn)題的(de)更廣泛背景下(xià)也得到了很(hěn)好(hǎo)的(de)理(lǐ)解。

打破網絡安全支出循環

 很(hěn)明(míng)顯，面對(duì)同樣飛(fēi)漲的(de)安全風(fēng)險，飛(fēi)漲的(de)網絡安全支出是不夠的(de)。這(zhè)種方法是不可持續的(de)——特别是随着業(yè)務技(jì)術本身(shēn)在過去(qù)幾年(nián)中随着雲遷移和(hé)遠(yuǎn)程工(gōng)作(zuò)等因素的(de)迅速變化(huà)。

 套用愛因斯坦的(de)話(huà)：我們不能用我們創造問(wèn)題時(shí)使用的(de)那(nà)種思維來(lái)解決問(wèn)題。

 企業(yè)需要後退一步，開(kāi)始運營其信息安全性，而不僅僅是再增加一年(nián)的(de)預算(suàn)。是通(tōng)過追蹤網絡安全與核心業(yè)務基礎的(de)聯系，企業(yè)可以開(kāi)始确保其投資在降低(dī)風(fēng)險敞口方面取得了真正的(de)成效。