讓網路安全團隊與業務單位密切合作:沒人說這是件簡單的事
壞消息是什麼?業務單位與網路安全部門之間存在著斷層。好消息又是什麼?只要密切合作,結果就會大不相同。
如果您擔任資安長、安全長或其他網路安全主管已經有一段時間,您很可能經常被執行長、董事會成員或其他資深高階主管問到過「我們有多安全?」這樣的問題。您也一定知道,回答這個問題並不像看起來的那麼簡單。
在企業風險快速轉變的時期,包括疫情全球大流行、經濟衰退以及遠距工作等,全球各地的網路攻擊與風險蓬勃發展,不僅擴大了每一個風險的影響,也讓網路安全升高為董事會層級考核的議題。然而,站在前線的我們卻要和許許多多的挑戰搏鬥,難以提供我們的業務主管有關公司網路安全態勢的清楚樣貌。
Tenable 觀察到這些重大挑戰漸漸浮現,並協助安全主管與他們的業務單位對口展開對話,我們委託 Forrester Consulting 對 416 位安全高階主管和 425 位業務高階主管進行了一項線上調查,從研究發現中檢視中到大型企業的網路安全策略與實務。調查結果所寫成的研究報告「和業務單位密切合作的安全主管之崛起」發現,資安團隊與業務單位的期望之間存在著斷層,以及安全主管所面臨的現實狀況。不過,該報告也發現,或許當今數位企業所面臨的最大機會,就是將資安長的角色提升到和其他高階主管的同等地位。
未來將屬於和業務單位密切合作的網路安全主管
該研究發現了 4 個重要的主題:
-
網路安全風險威脅在這個不確定的年代中蓬勃發展,使它成為值得董事會層級關注的議題。絕大多數的企業 (94%) 在過去 12 個月當中,至少遭遇過一次影響業務1的網路攻擊或入侵事件。大約有 2/3 (65%) 的受訪者表示,這些攻擊涉及操作技術 (OT) 資產。
-
業務主管往往希望瞭解其組織網路安全態勢的清楚樣貌,然而,他們公司的安全主管卻難以回答這些問題。在 10 位安全主管當中,只有 4 位表示他們能充滿信心地回答像是「我們有多安全?」或「我們的風險有多高?」這些問題。
-
企業對網路風險的瞭解與管理之間存在斷層。只有不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。只有半數 (51%) 的安全主管表示,他們的安全部門會跟業務部門的利害關係人就成本、績效和降低風險的目標以及業務需求密切配合。10 位安全主管中,只有 4 位 (佔 43%) 表示會經常與業務單位的利害關係人共同檢討安全部門的指標。
-
網路安全必須進化成和業務策略一樣成熟。只有在安全主管對其企業的攻擊破綻擁有更高的能見度時,這個目標才有可能實現。只有超過半數的安全主管表示,他們的安全部門對其企業的攻擊破綻能夠全面掌握與評估,而不到 50% 的安全部門採用情境式的威脅指標來衡量其企業的網路風險。也就是說,他們分析網路風險以及根據業務重要性和威脅背景排定優先順序與執行修復工作的能力很有限。
研究顯示,當安全主管與業務主管在彼此協議好的業務風險資料上密切合作時,他們就能創造出事實勝於雄辯的顯著成果。和業務單位密切合作的安全主管對於向其企業報告安全或風險程度的能力,與獨立作業的安全主管相較,其自信心高出了 8 倍。在當今的經濟環境下,由於全球經濟衰退而使得企業重新評估其開支,這一點更值得注意:85% 與業務單位密切合作的安全主管能夠掌握追蹤網路安全投資報酬率以及對業績影響的指標,而相較於採取較被動回應或獨立作業的安全主管,則只有 25% 能夠掌握這些指標。
就像 Sentara Healthcare 資安長 Dan Bowden 在去年與 Tenable 的訪談中指出:「在當今的環境下,社會對於在風險管理方面做得不錯的公司會給予許多關注,每間企業的每個領導團隊和董事會都希望參與解決問題的過程。如果可以提供他們有關曝險的正確資料 (而這恰好是我們必須要做的事),他們就能瞭解資料並且將資料與風險產生關聯。他們希望能夠參與其中,協助您解決問題並且更加妥善地管理風險。」
為了密切合作,資安長和其他安全及風險管理主管必須結合適當的技術、資料、流程與人員。例如,絕大多數與業務單位密切合作的企業 (80%) 擁有一位業務資訊安全長 (BISO) 或類似的職位,而較沒有密切合作的企業則只有 35% 設有這樣的職位。該研究也顯示,在將關鍵弱點評估流程自動化方面的腳步上,與業務單位密切合作的安全主管和採取較被動回應或獨立作業的安全主管之間為 +66 個百分點和 + 49 個百分點的差距。
1「業務影響」指的是與網路攻擊有關或造成客戶、員工或其他機密資料損失的入侵事件;日常運作中斷;為勒索軟體付出贖金;財務損失或遭竊;和/或智慧財產遭竊。
閱讀部落格系列文章:如何成為與業務單位密切合作的網路安全主管
本系列中的部落格文章著重於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。我們也檢視了 COVID-19 應變策略反映出來的業務與網路安全斷層、探討何以現有的網路安全指標在溝通網路風險時成效不彰、探索與業務單位同步應採取的 5 個步驟,並讓您一窺與業務單位密切合作的網路安全主管如何度過他一天的生活。
深入瞭解
相關文章
- Reports
- Research Reports
- Threat Intelligence
- Vulnerability Management