新冠病毒應對策略給我們的啟示:業務與網路安全之間的斷層
隨著全球企業競相制定因應新冠肺炎疫情的策略,一項獨立的企業風險研究顯示,網路安全主管多半被排除在外。
全球新冠肺炎疫情帶來了許多深遠的改變,其中之一便是企業規劃與管理業務風險的方式。不過,許多網路安全主管卻依然難以參與決策。
事實上,Forrester Consulting 代表 Tenable 執行的一項研究顯示,業務主管與網路安全主管之間存在著令人擔憂的斷層。雖然幾乎所有受訪者 (96%) 都表示自己的企業已經制定新冠病毒的應變策略,75% 的人認為業務部門與安全部門的配合最多只到「稍微」的程度而已。
這樣的情況令人相當憂心,尤其是現在為了因應疫情,企業突然廣泛採用在家工作的模式,導致公司網路中湧現大量終端使用者裝置。過去,遠端桌面只是做為一種可有可無的產品,面向一群特定的員工,現在卻成為許多員工賴以維持企業運作的必要工具。突然之間,員工紛紛使用自己未經過測試而且可能含有弱點的消費性路由器和家用網路,連線到核心業務系統與應用程式。而由於物聯網 (IoT) 裝置受到歡迎,因此也成為潛在的威脅媒介。普通的家用網路可能含有 Amazon Alexa 或其他語音聲控工具、連線至網際網路的電視與電玩裝置,以及員工配偶、子女或家中其他成員所擁有的各式筆記型電腦、平板電腦和手機。
根據布魯金斯研究所 (Brookings Institute) 估計,截至 2020 年 4 月 9 日為止,高達半數的美國員工都在家工作,該研究所稱之為「巨大轉變。」此外,皮尤研究中心 (Pew Research) 的研究顯示,疫情之前,美國民間企業、州政府、地方政府的員工只有 7% (約 980 萬人,員工總數為 1.4 億) 享有「彈性職場」的福利或是能夠選擇遠端工作。
現在,網路罪犯趁虛而入,利用呈指數擴張的攻擊破綻。同一份 Forrester 的研究還指出,截至 2020 年 4 月中旬,10 家企業中有 4 家 (41%) 已經遭遇過至少一次影響業務*的網路攻擊,原因來自與新冠病毒相關的網路釣魚或惡意軟體手法。資料是取自研究「和業務單位密切合作的安全主管之崛起」,以一份針對 10 個國家、超過 800 位業務主管與網路安全主管的線上調查為基礎。
該份研究中,與新冠病毒相關的詐欺在所有影響業務的網路攻擊來源中,位居第 1 名。雖然世界衛生組織在調查進行僅幾週前宣布新冠病毒疫情為全球大流行,等到研究進行時,新冠病毒相關的攻擊早已遠遠超過其他影響業務的攻擊,例如詐騙 (40%)、資料外洩 (37%)、勒索軟體 (36%)、軟體弱點 (34%)。
就個人而言,我認為調查結果恰好驗證了我的想法:擔心上述趨勢的安全主管並不只有我一人。根據 Forrester 調查,三分之二 (67%) 的受訪者表示自己非常或極度擔憂新冠病毒帶來的必要人力變化,將增加任職企業的風險等級。
更糟的是,該調查中將近半數的網路安全主管 (48%) 表示,自己對於在家工作的遠端員工能見度為中度至零 。
消弭這種斷層的關鍵之一,就是企業在制定風險管理策略時,需要納入網路安全。
風險管理如何協助您成為與業務單位密切合作的網路安全主管
資安長、安全長、其他網路安全主管適合在風險管理中擔任更重要的角色,在業務永續性、災難復原、危機管理的相關領域中亦是如此。我們的工作正好讓自己處在技術與業務的交會點。我們擁有能見度,掌握實現業務永續性與災難復原計畫所要求的所有系統、資料和流程。參與風險管理也會讓工作更容易管理一些:如果能從廣泛的企業風險角度瞭解所有關鍵流程與資產,肯定能讓貴公司在網路安全上也變得更強健。
執行風險管理活動還能取得一項明顯的營運優勢,這些活動能成為企業業務部門與資訊安全部門之間的橋樑。過程中的發現有助於整個企業掌握為資源排定優先順序的最佳方式,包含人力與財務資源,即使在危機期間也能維持業務運作。
Sentara Healthcare:有效密切合作的案例研究
Sentara Healthcare 就是一個展現有效合作的案例。Sentara Healthcare 資安長 Dan Bowden 接受 Tenable 訪談時表示,公司的 IT 與安全團隊在疫情初期意識到自己肩負兩項關鍵任務:讓大量員工能夠在家工作,以及協助將普通醫院病房改裝為加護病房 (ICU) 之用,更換照護突然湧入的重症患者所需要的操作技術 (OT) 與物聯網 (IoT) 系統。
Bowden 表示:「三月和四月時,我們的總工作量應該有超過 50% 都放在建立 ICU 病房的容量上,以及研究如何運用減少個人防護設備 (PPE) 消耗的技術。」
雖然最終成功轉換方向,該企業的修補程式陷入了兩個月的混亂。
Bowden 表示:「身為資安長,我非常積極地執行弱點掃描,我們的團隊也是。我們的原則以需求為基礎,因應發現新弱點時的後續措施。當時我們必須稍微調整弱點掃描的時間與修補原則,因為 IT 團隊正在轉換醫院床位。就技術角度而言,一般病房都採特定方式配置。一般病房轉換成 ICU 病房時,其中的許多技術系統與應用程式就會出現連動的改變。我們的基礎架構與應用程式團隊忙於轉換我們提供的病床數量,讓 ICU 病床數大量增加。因此,我們當時必須想辦法繼續遵循修補排程,掌握管理風險的效率與成效。我們非常倚重 Tenable 的弱點優先順序評分完成這項目標。我們今年春夏期間使用評分的積極程度遠勝以往。」
到了六月,修補程式便回到正軌。如今隨著第四季將近,Bowden 面臨重大的預算決定,當然許多經歷新冠肺炎經濟衝擊的產業亦是如此。「我們正努力減少營運支出,使預算恢復正常。我們如何在 2020 年實現損益平衡?我們非常專注於維持基本業務營運不中斷,以及因為新冠肺炎擴散的變化而出現的任何新需求。」
Bowden 補充:「我們的領導團隊極富進取心,告訴我們所有人要『發揮創意,幫助公司找到在疫情中成長的方法。』因此,我們也有幾個相關的大型專案要完成。」
顯示網路安全的投資報酬率
全球企業面臨經濟可能長期維持不確定性時,依據風險替各項投資排定優先順序就變得至關重要。Forrester 的研究顯示,安全與業務單位密切合作時,就能交出亮眼成果。例如,85% 與業務單位密切合作的安全主管能夠掌握追蹤網路安全投資報酬率及業務績效影響的指標,而在被動、孤立行事的安全主管中,只有四分之一 (25%) 能掌握這些指標。和業務單位密切合作的安全主管對於向其企業報告安全或風險程度的能力,與獨立作業的安全主管相較,其自信心也高出了 8 倍。其中絕大多數的人 (86%) 都備有流程,可提出明確期望,做出持續流程改善,而偏向被動回應與孤立作業者則只有 32% 能夠做到。
參與制定自己企業的企業風險管理 (ERM) 策略是理想之舉,如此將可讓您朝著與業務單位密切合作的網路安全主管邁進。
以下六個步驟將協助貴公司進行初始的企業風險識別與評估:
- 制定風險評估調查並傳送給關鍵利害關係人。這些調查通常是交由資深總監及更高層級處理,同時應該納入貴公司所有主要部門的代表,包含財務、法律、人力資源、資訊科技、資訊安全、銷售、營運、行銷、研發。調查完成後,建議將回應統整成風險類別,以便彙整出企業風險的清單。
- 執行研究與分析,以產業風險調查與貴公司的企業風險互相比較。
- 制定風險評估方法,包含機率與影響,以取得總風險分級。
- 找出貴公司的關鍵主管,投入時間進行訪談,取得他們對風險和排定優先順序的意見,以及風險機率和影響。
- 向高階主管呈報風險評估的結果,確立最高的風險並指派高階主管層級的風險負責人。
- 與高階主管層級的風險負責人合作,判別最高風險的降低風險措施。
執行上述步驟雖然艱辛,卻能帶來極高的效益,提供一組明確的優先順序。您將能掌握共同制定的企業風險清單。網路安全本身可能成為獨立的企業風險,也肯定會以某種形式影響許多企業風險,甚至是所有風險。
將企業風險評估結合業務影響分析,對業務永續性與災難復原而言非常重要,可確立貴公司最需要的關鍵系統與業務程序。風險評估與影響分析可成為基礎,用以制定與業務單位密切合作的網路安全策略。貴公司將取得專屬的最關鍵企業風險與流程清單,進而在遭逢危機時,實現為應變措施明確排定優先順序的做法,無論危機是否來自於網路攻擊、天災或全球疫情,皆能順利應對。業務營運恢復正常時,也沒問題。
風平浪靜之時,企業很容易以為企業風險管理就只是按表操課演練,交給風險專業人員組成的團隊就好。而面臨新冠病毒疫情,業務與技術主管這才發現自己得上一堂危機管理速成課。我們都應該將危機當成轉機,重新思考因應企業風險的方式,以便為不順遂的時期做好更完善的準備,在一切順利時則能掌握先機。
閱讀部落格系列文章:如何成為與業務單位密切合作的網路安全主管
本系列中的部落格文章著重於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。我們也檢視了 COVID-19 應變策略反映出來的業務與網路安全斷層、探討何以現有的網路安全指標在溝通網路風險時成效不彰、探索與業務單位同步應採取的 5 個步驟,並讓您一窺與業務單位密切合作的網路安全主管如何度過他一天的生活。
深入瞭解
- 參考更多研究重點,請按此處
- 下載完整的「和業務單位密切合作的安全主管之崛起」研究報告
- 閱讀部落格文章「讓網路安全團隊與業務單位密切合作:這絕非易事」以及「網路安全主管為何難以回答『我們有多安全?』
- 下載白皮書:成為與業務單位密切合作的網路安全主管,需要採取哪些行動
- 閱讀電子書《如何成為與業務單位密切合作的安全主管》
- 收聽 Cyber Exposure 播客系列「Tenable 安全長 Bob Huber 訪談」
*出於本調查需要,「影響業務」是指造成下列任一或更多後果的網路攻擊或入侵相關之事件:損失客戶、員工或其他機密資料;日常運作中斷;為勒索軟體付出贖金;財務損失或遭竊;和/或智慧財產遭竊。
相關文章
- Remote Workforce
- Reports
- Research Reports
- Threat Intelligence
- Vulnerability Management