别再一味地向C级高管灌输“网络安全”概念,先集中精力让他们了解什么是“网络弹性”吧。
网络弹性(cyber resilience)也称为运维弹性(operational resilience),是指网络在遇到灾难事件时快速恢复和继续运行的能力。灾难事件的范畴很广泛,比如长时间停电、网络设备故障、恶意入侵和技术新人不小心在服务器上洒了咖啡等等。当我们在处理一些可能导致系统和公司业务崩溃且完全未知的运营变数时,网络弹性可以保持网络的正常运行。
一家CISO和商业顾问公司总结称,企业领导者之所以一直未能理解网络安全问题所带来的风险大小和类型,主要还得归咎于网络安全团队。
该CISO咨询公司的首席执行官兼创始人Phillimon Zongo,在最近的ISACA OceaniaCACS会议上发表了关于网络弹性问题的演讲,并表示,董事会成员和高级商业领袖对参与网络安全决策的兴趣肯定会越来越高,但是他们中的很多人仍然在“兴趣高涨却认识有限”的困境中苦苦挣扎。
造成这一困境的原因固然是双方面的,但是主要责任方还是网络安全团队。因为对于他们来说,如何向不懂专业术语的高管们传达网络安全问题,并将网络安全问题与关键业务需求相结合,仍然是一个巨大的挑战。由于安全团队上报安全问题的方式不当,导致商业领袖并未能真正地了解他们的(业务)风险是什么,以及他们需要做些什么才能改善这些风险等等。
根据ISACA最近进行的一项调查发现,只有54%的ANZ(澳新银行)商业技术专业人士认为他们公司的领导者具备数字化文化。
第二个问题在于“不断扩展的网络安全攻击面”,这种现象主要归咎于外包业务的增长,以及这些第三方服务商所引入的未经检测的安全漏洞。
安全专家表示,如果贵公司已经外包了数百个项目,拥有了数百个第三方服务商,那么再想要具备一个强大到足够保护自身安全的防护项目就是很难实现的事了。
此外,ISACA调查还发现,数字化转型的步伐也呈现非常复杂的局面,因为根据调查显示只有不到1/4的受访者认为他们组织的高级管理者非常愿意采用新兴技术——这也使得改善网络安全的努力变得异常艰难。
如今,应用程序、数据以及业务流程统统都被迁移至了基于云的平台上,但企业通常并不具备管理这些新环境所必需的合适技能的员工——这进一步加剧了CISO转型(将网络安全与业务安全相协调)的难度,同时也损害了他们与高级领导者进行有意义讨论的能力。
新环境催生新思维
虽然CISO们主要处理技术问题,但企业领导者更多的则是关注服务交付和流程等问题——而且他们的网络安全投资需要通过将焦点从“保护心态”转移到基于确保网络弹性的强大机制上来反映这一点。
如今,越来越多的企业已经意识到,一旦他们成为“厉害角色”(组织有素且技能超群)的攻击目标,他们早晚会受到攻击破坏。问题在于,一旦出现了这种情况,他们应该如何迅速地恢复其关键系统,以便最大限度地降低对股东、客户以及员工的后续影响呢?
目前,想要解决这一问题是十分困难的,因为大多数公司仍在试图解决IT领域内网络安全漏洞对业务的影响:我们几乎每周所听到的一些规模庞大的数据泄露事件数量已经清楚地表明,之前在IT领域内管理此类风险的模型已经宣告失败,不再适应当前的网络安全环境。
大多数企业确实在网络安全方面投入了大量资金,但事实上,这些钱并不一定花在了正确的事情上。
规模较小的企业在解决这些问题方面面临着尤为艰巨的挑战,因为他们的资源本就十分有限,且长期的网络安全技能短缺通常也使他们难以获取所需的网络弹性技能。
这使得许多小型企业的IT组织无法推动重新构建网络安全对话所需的思维转型(将焦点从“保护心态”转移到基于确保网络弹性的强大机制上)——更困难的是,该对话通常是围绕“组织可以通过接受来自NIST,ISO等的庞大标准来解决其弹性问题”的想法而构建的。
如果您尝试在小型企业中使用这些思维模型,该框架可能会压得安全团队喘不过气来。因为在这种规模的企业中,网络安全团队通常只会配置1到3名员工,想要依靠如此有限的资源来减轻威胁势必是“没开始就注定失败”的策略。
企业需要重新思考自身的网络安全策略并评估自身的网络安全成熟度,以便清楚地了解自身的优势和劣势在哪里——ISACA于2016年所收购的CMMI Institute就能提供这样一种合适的成熟度模型。据悉,CMMI Institute是能力成熟度集成模型(CMMI)的管理机构,CMMI是全球广泛使用的能力改善框架,能够帮助机构实现高绩效运营。CMMI Institute为各大机构提供工具和支持,将其运营与最佳实践相比较,并发现绩效差距,从而藉此衡量其能力并打造成熟度。
如今,威胁行为者的攻击能力与我们的防守能力之间的差距正在不断扩大,因为我们的曝光度和攻击面都已经远胜从前。但是一旦你了解了什么才是关键所在,你就可以将这些资源集中在围绕这些资产所实施的关键控制措施上,做到有的放矢。
