企業安全戰略TOP3:目標、流程與培訓
每年,企業戰略集團(ESG)都會和資訊系統安全協會(ISSA)就網路安全人員的思維模式進行一項研究。去年的研究中,受訪者被要求指出自家企業未來一年內會採取什麼動作來改善網路安全。根據調查資料,我們可以歸納出CISO的建議偏向。
- 49%的受訪者認為,在未來,企業應為業務經理增加網路安全目標和安全評估。
不過,CISO也應該有業務目標。比如,應從安全動作與數字化轉型等業務專案的貼合度來衡量CISO的業績,而不應僅僅根據事件檢測/響應或按進度部署了新的多因子身份驗證(MFA)來衡量。
- 41%的受訪者稱,自家公司應記錄並正規化網路安全流程。
也就是說,當前太多公司的網路安全流程都是低效、無記錄和不正式的。沒有什麼比解決了安全過程的正規化問題更能提升安全生產力和員工士氣的了。
- 40%的受訪者稱,應為IT員工提供更多網路安全培訓。
很多CISO的理想模式是將安全專業知識嵌入到IT領域中。更多培訓就是通往這個方向的堅實步伐。
- 40%稱其公司應在應用開發過程中融入更多安全監管與測試。
因為很多程式碼都只關注增加功能和快速成型,容易導致軟體漏洞和高成本,而更多監管與測試可以帶來更好的安全與更低的成本。DevOps與安全的結合有助於情況的改善。
- 40%稱其公司應增加CISO在執行管理和董事會中的參與度。
雖說大家表面上都認為安全已經成為了“董事會會議討論議題”,但很多CISO還是感覺自己被當成了雖然有用但很遭厭棄的存在。很明顯,CISO覺得自己除了審計結果、合規報告和最新資料洩露的基本情況報告,還有很多可以說的。
- 40%稱其公司應增加網路安全預算。
這與你做什麼和花多少無關,預算多總比少好。
CISO顯然認為網路安全是一項團隊運動,業務與IT人員可以為整體安全工作貢獻更多。另外,安全不應侷限在少數人掌握的高精尖技術上,而應成為可重複和可評估的過程。
2017年就網路安全人員的思維模式的報告原文:
GISSAREPORTCYBERPROS/Marketing?SearchTerms=issa" rel="nofollow,noindex">https://research.esg-global.com/reportaction/ESGISSAREPORTCYBERPROS/Marketing?SearchTerms=issa