成為與業務單位密切合作的網路安全主管的五個步驟
業務風險的獨立研究顯示,當安全和業務部門針對共同的背景資訊密切合作時,就能締造出顯著成果。實現方法如下。
眾所周知,網路安全遭到了破壞。安全主管淹沒在資料之中。我們能告訴您有多少弱點。我們能告訴您已部署的修補程式數量。我們還能背出最新威脅的準確細節。不過,即使我們掌握了這一切資訊,大多數人還是難以自信地回答「我們有多安全或多危險?」這個問題。
原因何在?因為我們遺漏了一項關鍵資訊:業務背景資訊。
我們使用的典型企業安全或風險等級計算方程式,通常都是一個由資產、安全控制措施、威脅、弱點組成的函式。若缺少業務背景資訊,相當於不知道哪些資產對於貴公司的核心價值主張來說最為關鍵,也不知道關鍵資產使用了哪些安全控制措施,因此任何安全風險計算的結果最多只能算是殘缺不全。
不過,安全主管無法靠著單打獨鬥,就培養起對業務背景資訊的認識。若想培養認知,業務主管與網路安全主管之間就需要一定程度的策略合作,這正是大多數企業缺乏的。事實上,Forrester Consulting 受 Tenable 委託進行的研究顯示,業務與安全部門之間存在明顯的斷層:該研究 (研究群體為 416 位安全高階主管和 425 位業務高階主管) 顯示,只有 54% 的安全主管和 42% 的業務高階主管表示,自己的網路安全策略完全或密切配合業務目標。研究顯示,制定網路安全策略時,不到半數的安全主管表示自己會經常諮詢業務主管。更糟的是,10 位業務高階主管中有 4 位在制定企業的業務策略時,幾乎不會 (就算有也很少) 諮詢安全主管。
在與 Tenable 的訪談中,LafargeHolcim 位於馬德里的歐洲、中東暨非洲地區 IT 部門的 IT 安全和內部控制主管 Jose Maria Labernia Salvador 表示:「最大的挑戰或許是讓企業負責人意識並瞭解到,他們才是應該負責網路安全風險的人。網路安全這項主題與業務相關,其中 IT 也扮演重要角色。IT 可以提供支援與引導,不過企業利害關係人與資深主管也是其中的核心要角。」
Forrester 的研究顯示,業務與安全單位密切合作時,就能交出亮眼成果。例如,與業務單位密切合作的安全主管能夠:
- 準備好報告安全狀況與風險。相較於孤立行事的安全主管,與業務單位密切合作的安全主管對於報告其企業安全或風險等級的信心高出了 8 倍。
- 準備好說明安全計畫的投資報酬率。絕大多數與業務單位密切合作的安全主管 (85%) 都能掌握指標,追蹤網路安全的投資報酬率以及對業績影響的指標。相較之下,偏向被動回應或孤立行事者只有 25% 能掌握這類指標。
- 掌握定義明確的指標分析流程。在 10 位與業務單位密切合作的安全主管中,將近 9 位 (86%) 都備有流程,可提出明確期望,做出相對於同業和/或內部部門成效更佳的持續流程改善。未密切合作者則只有 32% 的人能做到。
以上並不表示,實現密切合作的責任完全落在安全主管的肩膀上。有些企業在文化上容易產生孤立行事的情形。無論投入多少心力,如果任職的企業有這種文化,就可能一直難以和業務主管密切合作。
如果您不確定貴公司的合作情形,在此提供一個快速辨別的方法:如果貴公司有業務資訊安全長這種高階主管的職位,那麼在合作程度上就偏向成熟那一端。Forrester 的研究指出,絕大多數與業務單位密切合作的企業 (80%) 都有一位業務資訊安全長 (BISO) 或類似的職位,合作程度較低的企業則只有 35% 設有這類職位。
如何成為和業務單位密切合作的網路安全主管
如果您夠幸運,任職的企業裡已擁有相對成熟的業務與網路安全合作關係,那麼成為與業務單位密切合作的安全主管這條路對您來說就相當清晰,即使可能需要大量心力推進。但是,如果任職的企業屬於合作成熟度較低者,這趟旅程的挑戰就更大了。由於沒有放諸四海皆準的作法,本文以合作成熟度的分級為基礎,提供以下含有三項作法的指南,希望其中之一能成為適合貴企業的起點。
在企業成熟度各個層面上改善與業務利害關係人合作程度的五個步驟
步驟 | 合作程度低 | 合作程度中等 | 合作程度高 |
步驟 1:確保自己瞭解企業的年度業務目標。 | 您很可能需要自行做些研究,檢視公司所公開的文件,例如獲利預估與財務報表,培養對於企業優先要務的清楚認識。 | 您可能需要參加副總裁層級的主管會議,參與企業的全體會議,尋找其他方法向業務單位的同事瞭解情況。 | 您已參加高階主管們舉行的每週會議,或是需要爭取參加,並且應要求固定向董事會進行簡報。前述活動能讓您接觸到關鍵業務目標。 |
步驟 2:思考上述業務目標如何塑造出技術決策。 | 您可能需要倚賴自己在大型企業中的同事人脈,幫助自己瞭解公司最關鍵的系統與資產。我們建議您特別留意運作中斷與資安事端,以便找出重要性備受矚目的區域。 | 您可能得奔波一番,與副總或其他業務部門主管開會,加速瞭解哪些系統最為重要。 | 您可以進行業務影響評估,請關鍵業務高階主管參與調查,以便清楚瞭解哪些是企業日常運作中最關鍵的系統。 |
步驟 3:與業務利害關係人合作,確保貴公司的網路安全指標納入業務背景資訊。 | 您可能需要尋求外部來源,例如業界發生的事件、案例研究或交流團體,以便取得共同業務需求與關鍵安全指標的全貌,並且結合必要資訊以推測適合自己任職企業的指標。 | 您可能無法聯絡上資深高階主管,請他們協助釐清業務背景資訊。您需要與董事或業務單位主管建立人脈,諮詢業界同行,協助自己找出對企業而言最合理的指標。 | 這個步驟的重心在於提出正確的問題,以及找出對於貴公司而言最有意義的一小群指標。 |
步驟 4::利用上述步驟取得的資訊,為網路安全流程排定優先順序。 | 先評估流程中的缺口,例如缺乏資產重要性資料,制定如何逐一彌補缺口的藍圖。 | 您可以著手整合資產重要性資料與威脅及弱點的資料,朝著風險型方法邁進。 | 使用預測的方法,利用自動化並且在威脅與弱點的優先順序排定做法中,應用業務風險管理目標。 |
步驟 5:在您說明時,使用業務利害關係人可以理解的指標分析。 | 考慮與外部顧問合作,協助自己培養業務領域的溝通技能。在過程中,您可能可以提升業務主管對於評估風險以及業務本身的重視程度。 | 您可能需要依靠自己的觀察能力,留意業務同事使用的詞彙,藉此調整自己的溝通方式。 | 即使在高度密切合作的企業裡,既有架構的主觀性與缺乏對關鍵風險指標的產業共識也可能為此步驟帶來挑戰。不過,如果貴公司的合作程度已經相當密切,高階主管應該會接受真誠的對話,瞭解他們需要知道以及不必在報告中贅述的內容。 |
資料來源:Tenable,2020 年 9 月
無論貴企業的合作成熟度如何,依循田納西州橡樹嶺市橡樹嶺國家實驗室資安長 Kevin Kerr 的建議都能獲益良多。在與 Tenable 的訪談中,Kerr 建議:「資安長要想辦法瞭解內部想法,四處走訪。要和同事溝通。瞭解不同層級的人員有什麼擔憂與目標,由下而上。掌握整體狀況。不要只聽取 IT 人員的想法,因為他們是從 IT 觀點出發。要從業務角度出發瞭解狀況,仔細傾聽。」受到 COVID-19 疫情影響,上述行動自然可能得改為虛擬方式進行。不過,無論是面對面還是透過 Zoom,瞭解各方意見對貴公司或您的職業生涯都有好處。Kerr 表示:「這樣能提升自己的參與程度。如果大家知道您是來幫他們想辦法找出完成目標的最佳辦法,同時保護整個企業,自然會歡迎你參與其中。我可不想成為阻礙創新的人。」
成為與業務單位密切合作的網路安全主管是一場馬拉松,並不是短跑衝刺。這場馬拉松講求的是學習如何流暢地使用業務與技術領域的語言。但是,就像 Forrester 的研究所指出的:「現代的安全威脅需要新方法。」準備好將網路安全當成業務風險管理的安全主管,將能掌控未來。
閱讀部落格系列文章:如何成為與業務單位密切合作的網路安全主管
本系列中的部落格文章著重於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。我們也檢視了 COVID-19 應變策略反映出來的業務與網路安全斷層、探討何以現有的網路安全指標在溝通網路風險時成效不彰、探索與業務單位同步應採取的 5 個步驟,並讓您一窺與業務單位密切合作的網路安全主管如何度過他一天的生活。
深入瞭解:
- 參考更多研究重點,請按此處
- 下載完整的「和業務單位密切合作的安全主管之崛起」研究報告
- 閱讀部落格
- 下載白皮書:成為與業務單位密切合作的網路安全主管,需要採取哪些行動
- 閱讀電子書《如何成為與業務單位密切合作的安全主管》
- 收聽 Cyber Exposure 播客系列「Tenable 安全長 Bob Huber 訪談」
- 歡迎檢視網路研討會:和業務單位密切合作的安全主管之崛起
相關文章
- Vulnerability Management