Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱
  • Twitter
  • Facebook
  • LinkedIn

讓網路安全團隊與業務單位密切合作:沒人說這是件簡單的事

讓網路安全團隊與業務單位密切合作: 沒人說這是件簡單的事

壞消息是什麼?業務單位與網路安全部門之間存在著斷層。好消息又是什麼?只要密切合作,結果就會大不相同。

如果您擔任資安長、安全長或其他網路安全主管已經有一段時間,您很可能經常被執行長、董事會成員或其他資深高階主管問到過「我們有多安全?」這樣的問題。您也一定知道,回答這個問題並不像看起來的那麼簡單。

在企業風險快速轉變的時期,包括疫情全球大流行、經濟衰退以及遠距工作等,全球各地的網路攻擊與風險蓬勃發展,不僅擴大了每一個風險的影響,也讓網路安全升高為董事會層級考核的議題。然而,站在前線的我們卻要和許許多多的挑戰搏鬥,難以提供我們的業務主管有關公司網路安全態勢的清楚樣貌。

Tenable 觀察到這些重大挑戰漸漸浮現,並協助安全主管與他們的業務單位對口展開對話,我們委託 Forrester Consulting 對 416 位安全高階主管和 425 位業務高階主管進行了一項線上調查,從研究發現中檢視中到大型企業的網路安全策略與實務。調查結果所寫成的研究報告「和業務單位密切合作的安全主管之崛起」發現,資安團隊與業務單位的期望之間存在著斷層,以及安全主管所面臨的現實狀況。不過,該報告也發現,或許當今數位企業所面臨的最大機會,就是將資安長的角色提升到和其他高階主管的同等地位。

未來將屬於和業務單位密切合作的網路安全主管

該研究發現了 4 個重要的主題:

  • 網路安全風險威脅在這個不確定的年代中蓬勃發展,使它成為值得董事會層級關注的議題。絕大多數的企業 (94%) 在過去 12 個月當中,至少遭遇過一次影響業務1的網路攻擊或入侵事件。大約有 2/3 (65%) 的受訪者表示,這些攻擊涉及操作技術 (OT) 資產。

  • 業務主管往往希望瞭解其組織網路安全態勢的清楚樣貌,然而,他們公司的安全主管卻難以回答這些問題。在 10 位安全主管當中,只有 4 位表示他們能充滿信心地回答像是「我們有多安全?」或「我們的風險有多高?」這些問題。

  • 企業對網路風險的瞭解與管理之間存在斷層。只有不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。只有半數 (51%) 的安全主管表示,他們的安全部門會跟業務部門的利害關係人就成本、績效和降低風險的目標以及業務需求密切配合。10 位安全主管中,只有 4 位 (佔 43%) 表示會經常與業務單位的利害關係人共同檢討安全部門的指標。

  • 網路安全必須進化成和業務策略一樣成熟。只有在安全主管對其企業的攻擊破綻擁有更高的能見度時,這個目標才有可能實現。只有超過半數的安全主管表示,他們的安全部門對其企業的攻擊破綻能夠全面掌握與評估,而不到 50% 的安全部門採用情境式的威脅指標來衡量其企業的網路風險。也就是說,他們分析網路風險以及根據業務重要性和威脅背景排定優先順序與執行修復工作的能力很有限。

研究顯示,當安全主管與業務主管在彼此協議好的業務風險資料上密切合作時,他們就能創造出事實勝於雄辯的顯著成果。和業務單位密切合作的安全主管對於向其企業報告安全或風險程度的能力,與獨立作業的安全主管相較,其自信心高出了 8 倍。在當今的經濟環境下,由於全球經濟衰退而使得企業重新評估其開支,這一點更值得注意:85% 與業務單位密切合作的安全主管能夠掌握追蹤網路安全投資報酬率以及對業績影響的指標,而相較於採取較被動回應或獨立作業的安全主管,則只有 25% 能夠掌握這些指標。

就像 Sentara Healthcare 資安長 Dan Bowden 在去年與 Tenable 的訪談中指出:「在當今的環境下,社會對於在風險管理方面做得不錯的公司會給予許多關注,每間企業的每個領導團隊和董事會都希望參與解決問題的過程。如果可以提供他們有關曝險的正確資料 (而這恰好是我們必須要做的事),他們就能瞭解資料並且將資料與風險產生關聯。他們希望能夠參與其中,協助您解決問題並且更加妥善地管理風險。」

為了密切合作,資安長和其他安全及風險管理主管必須結合適當的技術、資料、流程與人員。例如,絕大多數與業務單位密切合作的企業 (80%) 擁有一位業務資訊安全長 (BISO) 或類似的職位,而較沒有密切合作的企業則只有 35% 設有這樣的職位。該研究也顯示,在將關鍵弱點評估流程自動化方面的腳步上,與業務單位密切合作的安全主管和採取較被動回應或獨立作業的安全主管之間為 +66 個百分點和 + 49 個百分點的差距。

本系列其他的部落格文章著重於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。此外,本系列也探討了新冠病毒應對策略給世人的啟示,分析業務與網路安全之間的斷層,並且反思資安長需要與高階主管及董事會溝通時,現有的網路安全指標為何不足。 在接下來的文章中,我們也將討論與業務單位密切合作的網路安全實務應該如何進行,以及您如何在貴公司內著手建立這樣的合作關係,並提供我們的秘訣與建議,將您本身的角色轉型為與業務單位密切合作的網路安全主管。

1「業務影響」指的是與網路攻擊有關或造成客戶、員工或其他機密資料損失的入侵事件;日常運作中斷;為勒索軟體付出贖金;財務損失或遭竊;和/或智慧財產遭竊。

深入瞭解

  • 參考更多研究重點,請按此處
  • 欲知更多資訊,請按此處
  • 下載完整的「和業務單位密切合作的安全主管之崛起」研究報告,請按此處
  • 閱讀 Sentara Healthcare 如何與高階主管和董事會進行更有意義的討論,請按此處

相關文章

您是否容易受到最新攻擊程式危害?

輸入您的電子郵件地址,以便收到最新 cyber exposure 警示。

免費試用 立即購買

選擇 Tenable.io

免費試用 30 天

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。 立即註冊。

立即購買 Tenable.io

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。完整詳情請見此處。

免費試用 立即購買

試用 Tenable.io Web Application Scanning

免費試用 30 天

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable.io Container Security

免費試用 30 天

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器影像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

取得 Tenable.sc 產品示範

請填寫以下表格並附上您的聯絡資訊,我們的業務代表將盡快與您聯絡,以安排產品示範。您也可以附上簡短註解 (字元上限為 255 個)。請注意,標示星號 (*) 的欄位是必填欄位。

免費試用 聯絡業務人員

試用 Tenable Lumin

免費試用 30 天

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

申請 Tenable.ot 產品示範

取得您所需要的操作技術安全性。
降低您無法處理的風險。