Gartner 预计,今年在信息安全和风险管理产品和服务方面的支出将增长 11.3%,达到 1883 亿美元以上。但是,尽管有这样规模的投入,截至目前今年已经发生了至少13起重大数据泄露事件,包括苹果、Meta 和 Twitter。
为了更好地集中安全支出,一些首席信息安全官(CISO)正在将他们的风险评估从 IT 系统转移到维持业务发展的数据、应用程序和流程上。
福利管理软件提供商 PlanSource 的副总裁兼 CISO David Christensen 表示:“如果你从纯粹的技术角度来看安全性,很容易陷入‘我需要这个闪亮的物体,因为其他人都有’的境地。现实情况却往往是,最流行或最知名的新安全解决方案可能会浪费资金,拖累业务,特别是当它与业务目标不一致时。而且,即使它有助于保护某个部分的业务,也很可能不是业务或业务流程中产生最大风险或最重要的部分。”
Don Pecha 是管理服务提供商 FNTS 的 CIO。他对此也表示同意,并补充说: “公司的每个业务部门都可能有独特的考虑,以及独特的合规、监管或隐私应用程序,每个业务可能都有独特的风险供董事会或高管考虑。”
风险投资公司 YL Ventures 的驻场 CISO 和 SANS 研究所的研究员 Frank Kim 引用了一个 CISO 的案例,该 CISO 因提出昂贵的终点检测、响应和事件响应计划而被解雇,这些计划被认为不适合此类初创公司。Kim 说:“初创公司的重点是生存和收入增长。可这位 CISO 没有意识到自己的工作不仅仅是提出一系列新的安全功能,还有业务支持。”
价值的新定义
将安全与业务相结合超越了证明安全支出合理性的传统方法,比如警告黑客攻击的后果或试图证明 RO。对于企业内部安全团队,Kim 说要接受安全是一个成本中心,并展示 CISO 如何在一段时间内管理总成本。。金融服务提供商 Oportun 的高级副总裁兼首席信息官 Tyson Kopczynski 补充道,这可能包括向首席财务官和首席执行官更新具体的成本削减情况,例如减少与安全供应商的支出,找到一种更便宜的产品来满足安全需求,或者改进内部指标,如缓解漏洞的平均成本。
Christensen 进一步建议解释安全如何能够削减成本或提高生产力。例如,他说,网络应用防火墙不仅可以保护应用程序,还可以通过减少虚假和恶意的流量来削减网络成本。另外,采用零信任架构和安全访问服务边缘技术可以帮助提高生产力,使用户无需手动部署虚拟专用网络来访问资源,或在 VPN 失败时中断会议。
Kopczynski 补充说,CISO 可以通过一些问题来发现这种改进,比如他们的组织是否正在使用一个安全工具中的所有功能,这些功能是否与其他工具重叠,以及组织是否为许可证支付了太多的费用或太多的许可证。他说,使价值最大化的方法包括考虑执行多种安全功能的工具,或运行渗透测试、攻击模拟或进攻性安全活动,以证明一个工具可以击退高影响的攻击。例如,他使用 Titaniam 加密引擎来支持几个数据保护用例,以及亚马逊和微软等云提供商提供的安全工具。他说:“我们还研究了提供多组保护的通用云安全解决方案,而不是解决一个特定的用例。”。
在全球营销机构和咨询公司 The Channel Company 的 CIO Rik Wright 说,安全方面的考虑已经深入到业务战略和预算编制中。这包括从满足欧盟 GDPR 的需要到遵守客户的安全要求。
避免威胁也是该公司安全价值方程的一部分,该公司在基础设施方面使用管理服务提供商 GreenPages,并帮助满足其安全需求。赖特说,他看到一些公司在遭受勒索软件攻击后,潜在的商业威胁金额高达 2000 万美元,因此,他说,防止这种损失代表了非常真实的价值。
了解业务需求
将安全支出与业务需求结合起来,首先要了解什么对业务经理来说是最重要的。
Kim 建议使用“风险=影响x可能性”公式,并从 1 到 10 的范围内了解你最重要的流程和资产是什么。他说:“你的财务数据可能是 10 分,但你的人力资源数据可能是 7 分,因为这不是一个商业差异。只需在风险计算中使用一个简单的评分标准,就有助于确定优先事项。”
除了业务,Christensen 说 CISO 还必须咨询 IT 部门,以了解一项新的安全技术可能带来的管理负担,以及所有可以使用安全工具来最大化其价值的领域。他使用 dope.security 的安全网络网关,不仅可以控制访问,还可以了解用户正在访问哪些信息和网站,以及他们使企业面临的潜在风险。
行业标准框架也可以为风险评估提供一种共同的语言和结构,如 NIST(美国国家标准与技术研究院)网络安全框架。Christensen 说:“这很简单,不需要成为一名安全从业者就可以理解它,但它可以模拟你的成熟度,并有助于将其与业务利益相关者联系起来。”他补充道,它也基于行业标准,而不是 CISO 的意见,并不断更新以反映新的风险。
Pecha 则表示,不同的安全框架最适合于不同的行业。他说:“如果我在政府任职,我将与NIST接轨。如果你是一家全球企业,就使用 ISO/IEC 27000 系列标准。不一定要认证,但要合规,了解控制措施是什么,以便了解你的合作伙伴的安全需求以及你自己的安全需求。”
制造商 Johns Manville 的高级安全和网络工程经理 Scott Reynolds 则使用 ISA/IEC 62443 标准,在业务经理、安全专家和供应商之间就共同术语(如共享共同安全需求的资产“区域”)达成共识。他说:“这个过程也表明我们对整个区域的风险水平达成一致,而不仅仅是区域内的每一项资产。区域内最薄弱的环节将影响到区域内所有的资产。”
在媒体创作和编辑技术供应商 Avid Technology,其 CIO 和首席安全官 Dmitriy Sokolovskiy 使用 NIST 的网络安全框架来衡量其安全流程的成熟度,并使用互联网安全中心的顶级安全控制来获得具体的战术指导,他说,这突出了企业可以在其基础设施中轻松解决的低悬果。
谨慎使用基准
一些 CIO 对使用基准将他们的安全支出与其他人进行比较持怀疑态度。他们说,这是因为公司可能以不同的方式定义安全支出或有不同的需求。他们还说,基准往往没有描述组织如何以及为何分配其安全预算。因此,他们将基准作为预算编制的粗略指南,主要依靠自己的风险评估。
但 Kim 警告 CISO 不要拒绝核心的基准测试请求。他说:"要求一个基准并不是不合理的。首席财务官不能说,'我们不能把我们的每股收益与行业中的其他人进行比较'"。他表示,提供基准,但要作为更广泛的解释的一部分,说明你的安全支出与其他人的比较,组织面临的挑战,以及你是如何随着时间的推移减少安全的总成本的。
Pecha 说:“ CISO 应该描述当前的威胁和攻击”,并提供补救措施。他说,然后由董事会和高管决定什么是可以接受的,以及需要做什么来管理企业的整体风险,因为只有他们才有能力推动变革。
坚持让企业高管正式接受商业风险,甚至是书面形式,往往能说服他们同意拟议的安全支出。当 Sokolovskiy 坚持这样的审批时,“到目前为止,业务部门实际上是被迫自己降低风险的,因为他们才是风险对象。”
Christensen 表示,以业务为中心的方法还可以刺激安全和业务团队努力识别提高效率和节省资金的机会,例如通过消除多余的系统和流程。他说:“通过业务整合,你别无选择,只能找到独特和创新的方法来解决业务运营方式带来的问题。”
来源:www.cio.com
