談?wù)摽赡芎芊奖?，但在IT安全方面，與同事、業(yè)務(wù)合作伙伴和其他相關(guān)方進(jìn)行戰(zhàn)略對(duì)話的價(jià)值可能是不可估量的。

技術(shù)研究和咨詢公司ISG網(wǎng)絡(luò)安全部門聯(lián)席主管羅杰·阿爾布雷希特表示，通過(guò)持續(xù)的討論解決網(wǎng)絡(luò)安全問(wèn)題的價(jià)值在于，讓企業(yè)在有效和穩(wěn)健的戰(zhàn)略上保持一致。

“這樣的討論確保將網(wǎng)絡(luò)安全倡議和資源需求整合到企業(yè)的業(yè)務(wù)目標(biāo)中?！彼a(bǔ)充道。這些討論解決了不斷變化的監(jiān)管和合規(guī)問(wèn)題，并揭示了風(fēng)險(xiǎn)緩解方面的漏洞和威脅。

Albrecht說(shuō)，正在進(jìn)行的IT安全戰(zhàn)略對(duì)話應(yīng)該降低企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，并實(shí)現(xiàn)戰(zhàn)略目標(biāo)?！斑@樣的對(duì)話，應(yīng)該以明確的行動(dòng)、好處、時(shí)間表以及彌補(bǔ)差距所需的預(yù)算和資源來(lái)結(jié)束。

對(duì)于希望建立更強(qiáng)大的網(wǎng)絡(luò)安全戰(zhàn)略的IT領(lǐng)導(dǎo)者來(lái)說(shuō)，以下7個(gè)問(wèn)題是你應(yīng)該與高管同事、業(yè)務(wù)合作伙伴和IT員工進(jìn)行深入網(wǎng)絡(luò)安全戰(zhàn)略對(duì)話的關(guān)鍵提示。

1、我們的系統(tǒng)是否在安全方面有足夠的現(xiàn)代化?

谷歌云CISO Phil Venables表示，企業(yè)應(yīng)該討論如何對(duì)其技術(shù)基礎(chǔ)設(shè)施進(jìn)行現(xiàn)代化改造，以支持內(nèi)置安全而不是簡(jiǎn)單地連接的體系結(jié)構(gòu)。

遺留系統(tǒng)通常存在固有缺陷，因?yàn)樗鼈兊脑O(shè)計(jì)不像更現(xiàn)代的體系結(jié)構(gòu)——通常是公有云或私有云——那樣具有防御性。Venables觀察到，在過(guò)去10年中，有許多案例表明，企業(yè)在網(wǎng)絡(luò)安全產(chǎn)品上進(jìn)行了大量投資，但尚未升級(jí)其整體IT基礎(chǔ)設(shè)施或?qū)崿F(xiàn)軟件開發(fā)方法的現(xiàn)代化。

“這相當(dāng)于在沙子上蓋房子?！彼f(shuō)。如果不繼續(xù)關(guān)注和投資于IT現(xiàn)代化，企業(yè)將無(wú)法充分實(shí)現(xiàn)安全進(jìn)步的好處，從而使其企業(yè)容易受到惡意活動(dòng)的攻擊。

Venables建議，現(xiàn)代化對(duì)話應(yīng)在董事會(huì)會(huì)議室、高管領(lǐng)導(dǎo)層會(huì)議和業(yè)務(wù)部門特定戰(zhàn)略會(huì)議中舉行。

“歸根結(jié)底，只要在正確的利益相關(guān)者之間進(jìn)行討論，并啟動(dòng)路線圖，企業(yè)就會(huì)為成功做好準(zhǔn)備?！彼f(shuō)。

2、我們是否在應(yīng)對(duì)網(wǎng)絡(luò)場(chǎng)景時(shí)達(dá)到了我們應(yīng)該達(dá)到的程度?

管理咨詢公司艾斯納咨詢集團(tuán)(Eisner Consulting Group)合伙人兼外包IT服務(wù)主管拉胡爾·馬納(Rahul Mahna)認(rèn)為，與團(tuán)隊(duì)和管理同事一起玩情景游戲可以刺激有用的安全洞察。

例如，如果一個(gè)關(guān)鍵客戶的業(yè)務(wù)因網(wǎng)絡(luò)攻擊而關(guān)閉，會(huì)發(fā)生什么?下一步會(huì)是什么?“這種類型的事件響應(yīng)計(jì)劃在我們的客戶對(duì)話中非常有價(jià)值，”Mahna解釋說(shuō)。他建議，這樣的安全戰(zhàn)略對(duì)話不應(yīng)該是偶爾的、一次性的討論，而應(yīng)該是一系列持續(xù)的、定期的對(duì)話。

除了定期對(duì)話，Mahna建議每年舉行一次以安全為重點(diǎn)的會(huì)議，并結(jié)合事件響應(yīng)計(jì)劃測(cè)試，使主要高管和經(jīng)理了解不斷發(fā)展的政策、實(shí)踐和角色的最新情況。

Mahna建議說(shuō)，計(jì)劃在網(wǎng)絡(luò)攻擊發(fā)生時(shí)應(yīng)該做什么是一項(xiàng)極其寶貴的資產(chǎn)，應(yīng)該在運(yùn)行手冊(cè)中進(jìn)行實(shí)質(zhì)性的限定和量化?！斑@本書應(yīng)該被共享，并提供給指定的安全團(tuán)隊(duì)成員，以提供一條途徑，以便在發(fā)生安全漏洞時(shí)，能夠成功地執(zhí)行經(jīng)過(guò)深思熟慮的應(yīng)對(duì)計(jì)劃?！?/p>

3、我們是否培養(yǎng)了一種安全文化?

亞馬遜網(wǎng)絡(luò)服務(wù)全球安全合作伙伴主管瑞安·奧爾西(Ryan Orsi)表示，領(lǐng)導(dǎo)者為他們企業(yè)的IT安全戰(zhàn)略定下了基調(diào)。在一種安全文化中，每個(gè)員工都感覺(jué)自己有權(quán)在經(jīng)過(guò)批準(zhǔn)的安全護(hù)欄內(nèi)快速移動(dòng)，從而帶來(lái)更快的創(chuàng)新周期、更快的業(yè)務(wù)成果以及更高的最終客戶滿意度。

Orsi說(shuō)，激勵(lì)個(gè)人在定義明確的安全護(hù)欄內(nèi)創(chuàng)新和快速行動(dòng)的企業(yè)是最有效的。如果你覺(jué)得你的企業(yè)在發(fā)布應(yīng)用程序更新、網(wǎng)站更新和數(shù)據(jù)庫(kù)更改等項(xiàng)目之前打開票證請(qǐng)求安全團(tuán)隊(duì)批準(zhǔn)，那么你可能就沒(méi)有在安全文化中運(yùn)營(yíng)?！巴ㄟ^(guò)將安全文化融入整個(gè)領(lǐng)導(dǎo)層，你很可能會(huì)感受到不同。”

4、我們對(duì)新出現(xiàn)的威脅評(píng)估是否真的是最新的?

網(wǎng)絡(luò)罪犯從不睡覺(jué);他們總是放縱和腐敗。商業(yè)管理咨詢公司摩根·富蘭克林咨詢公司的高級(jí)經(jīng)理格里芬·阿什金建議：“在IT安全戰(zhàn)略方面，必須就網(wǎng)絡(luò)威脅的新性質(zhì)進(jìn)行非常直接的對(duì)話?！?/p>

阿什金警告說(shuō)，最近的經(jīng)驗(yàn)表明，網(wǎng)絡(luò)罪犯現(xiàn)在正在超越勒索軟件，進(jìn)入網(wǎng)絡(luò)勒索。他們威脅要向外界公布企業(yè)員工的個(gè)人身份信息(PII)，使員工面臨身份被盜的巨大風(fēng)險(xiǎn)。

阿什金認(rèn)為，安全領(lǐng)導(dǎo)者應(yīng)該努力重新部署盡可能多的本地基礎(chǔ)設(shè)施資源，從而將網(wǎng)絡(luò)保護(hù)責(zé)任轉(zhuǎn)移到云提供商身上。此外，定期安排的管理層對(duì)話應(yīng)導(dǎo)致關(guān)鍵決策，例如對(duì)增強(qiáng)的安全工具的潛在投資、更新的安全意識(shí)培訓(xùn)材料、與最終用戶的更多溝通以提高對(duì)最新安全威脅的認(rèn)識(shí)，以及應(yīng)對(duì)和降低員工風(fēng)險(xiǎn)所需的任何其他相關(guān)步驟。

5、我們是否制定了真正有效的事件響應(yīng)計(jì)劃?

網(wǎng)絡(luò)安全公司Camelot Secure的解決方案工程總監(jiān)扎卡里·?？?Zachary Folk)建議，每個(gè)企業(yè)都需要舉行一次聚焦于事件響應(yīng)的對(duì)話。

Folk說(shuō)，規(guī)劃至關(guān)重要。討論應(yīng)包括企業(yè)的執(zhí)行人員，包括CIO、CISO、CTO、事故應(yīng)對(duì)小組協(xié)調(diào)員和所有部門負(fù)責(zé)人。他建議，這些會(huì)議和對(duì)話應(yīng)該導(dǎo)致制定或更新事件應(yīng)對(duì)計(jì)劃。討論還應(yīng)審查關(guān)鍵任務(wù)資產(chǎn)和優(yōu)先事項(xiàng)，評(píng)估攻擊的可能影響，并確定最有可能的攻擊威脅。

Folk說(shuō)，通過(guò)將企業(yè)的風(fēng)險(xiǎn)管理方法從基于矩陣的測(cè)量(高、中或低)改為量化的風(fēng)險(xiǎn)降低，你可以根據(jù)需要將實(shí)際的潛在影響建立在盡可能多的變量上。通過(guò)使用簡(jiǎn)單的蒙特卡羅模擬和從你的企業(yè)收集的數(shù)據(jù)，你可以為高級(jí)員工提供實(shí)際的損失、潛在發(fā)生和影響的概率。

6、我們的安全投資是否實(shí)現(xiàn)了最大投資回報(bào)?

IT資產(chǎn)可見性和網(wǎng)絡(luò)安全公司Sevco的CSO布萊恩·康托斯表示，是時(shí)候停止逃避安全ROI對(duì)話了。他指出，企業(yè)在CMDB、SIEM、SOAR、EDR、漏洞管理和相關(guān)解決方案方面投入了大量資金。

“為了實(shí)現(xiàn)這些解決方案的價(jià)值，企業(yè)需要確保流入它們的信息(如資產(chǎn)情報(bào))是及時(shí)、準(zhǔn)確和經(jīng)過(guò)重復(fù)數(shù)據(jù)消除的，”他說(shuō)。企業(yè)級(jí)安全解決方案中強(qiáng)大的資產(chǎn)智能不僅能幫助你更好地降低風(fēng)險(xiǎn)，還能提高這些投資的投資回報(bào)率。

Contos說(shuō)，ROI對(duì)話應(yīng)該會(huì)導(dǎo)致安全、IT運(yùn)營(yíng)和GRC(治理、風(fēng)險(xiǎn)和合規(guī)性)團(tuán)隊(duì)更好地了解他們的環(huán)境。它應(yīng)該專注于所有好的和不好的東西，同時(shí)確定需要最快速改進(jìn)的領(lǐng)域。然后，可以將優(yōu)先行動(dòng)分配給適當(dāng)?shù)膱F(tuán)隊(duì)，以處理許可、流程改進(jìn)、漏洞查找、安全控制可見性和監(jiān)管要求等主題。

“最終，當(dāng)利用資產(chǎn)情報(bào)來(lái)豐富專注于安全、IT運(yùn)營(yíng)和GRC的現(xiàn)有工具的有效性時(shí)，應(yīng)將降低風(fēng)險(xiǎn)和最大化ROI結(jié)合起來(lái)。”他建議說(shuō)。

7、我們的財(cái)務(wù)風(fēng)險(xiǎn)究竟有多大?

也許最關(guān)鍵的IT安全戰(zhàn)略對(duì)話集中于回答一個(gè)問(wèn)題：“如果我們的IT系統(tǒng)出現(xiàn)故障，我們的客戶將面臨什么經(jīng)濟(jì)損失?”

這些討論的目標(biāo)應(yīng)該是建立一個(gè)安全、健壯和有彈性的IT環(huán)境，一個(gè)客戶可以確保保持正常運(yùn)行的環(huán)境，允許產(chǎn)品和服務(wù)不間斷地交付，托管服務(wù)和IT戰(zhàn)略公司Blue Mantis的現(xiàn)場(chǎng)CISO羅布·菲茨杰拉德說(shuō)。

菲茨杰拉德建議，這種對(duì)話應(yīng)該不少于每年一次，最好是在預(yù)算季節(jié)之前進(jìn)行，這樣CIO和CISO就可以相應(yīng)地制定計(jì)劃。他說(shuō)，如果發(fā)生任何影響業(yè)務(wù)的重大事件，也需要在這些時(shí)間段進(jìn)行對(duì)話。例如，如果一個(gè)企業(yè)打算出售一個(gè)部門或收購(gòu)另一個(gè)企業(yè)，CIO和CFO有信托義務(wù)重新評(píng)估客戶在企業(yè)的IT系統(tǒng)不可用時(shí)將面臨的財(cái)務(wù)損失。