Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

讓網路安全團隊與業務單位密切合作:沒人說這是件簡單的事

壞消息是什麼?業務單位與網路安全部門之間存在著斷層。好消息又是什麼?只要密切合作,結果就會大不相同。

如果您擔任資安長、安全長或其他網路安全主管已經有一段時間,您很可能經常被執行長、董事會成員或其他資深高階主管問到過「我們有多安全?」這樣的問題。您也一定知道,回答這個問題並不像看起來的那麼簡單。

在企業風險快速轉變的時期,包括疫情全球大流行、經濟衰退以及遠距工作等,全球各地的網路攻擊與風險蓬勃發展,不僅擴大了每一個風險的影響,也讓網路安全升高為董事會層級考核的議題。然而,站在前線的我們卻要和許許多多的挑戰搏鬥,難以提供我們的業務主管有關公司網路安全態勢的清楚樣貌。

Tenable 觀察到這些重大挑戰漸漸浮現,並協助安全主管與他們的業務單位對口展開對話,我們委託 Forrester Consulting 對 416 位安全高階主管和 425 位業務高階主管進行了一項線上調查,從研究發現中檢視中到大型企業的網路安全策略與實務。調查結果所寫成的研究報告「和業務單位密切合作的安全主管之崛起」發現,資安團隊與業務單位的期望之間存在著斷層,以及安全主管所面臨的現實狀況。不過,該報告也發現,或許當今數位企業所面臨的最大機會,就是將資安長的角色提升到和其他高階主管的同等地位。

未來將屬於和業務單位密切合作的網路安全主管

該研究發現了 4 個重要的主題:

  • 網路安全風險威脅在這個不確定的年代中蓬勃發展,使它成為值得董事會層級關注的議題。絕大多數的企業 (94%) 在過去 12 個月當中,至少遭遇過一次影響業務1的網路攻擊或入侵事件。大約有 2/3 (65%) 的受訪者表示,這些攻擊涉及操作技術 (OT) 資產。

  • 業務主管往往希望瞭解其組織網路安全態勢的清楚樣貌,然而,他們公司的安全主管卻難以回答這些問題。在 10 位安全主管當中,只有 4 位表示他們能充滿信心地回答像是「我們有多安全?」或「我們的風險有多高?」這些問題。

  • 企業對網路風險的瞭解與管理之間存在斷層。只有不到 50% 的安全主管能夠在特定業務風險的背景下勾勒出網路安全威脅的影響範圍。只有半數 (51%) 的安全主管表示,他們的安全部門會跟業務部門的利害關係人就成本、績效和降低風險的目標以及業務需求密切配合。10 位安全主管中,只有 4 位 (佔 43%) 表示會經常與業務單位的利害關係人共同檢討安全部門的指標。

  • 網路安全必須進化成和業務策略一樣成熟。只有在安全主管對其企業的攻擊破綻擁有更高的能見度時,這個目標才有可能實現。只有超過半數的安全主管表示,他們的安全部門對其企業的攻擊破綻能夠全面掌握與評估,而不到 50% 的安全部門採用情境式的威脅指標來衡量其企業的網路風險。也就是說,他們分析網路風險以及根據業務重要性和威脅背景排定優先順序與執行修復工作的能力很有限。

研究顯示,當安全主管與業務主管在彼此協議好的業務風險資料上密切合作時,他們就能創造出事實勝於雄辯的顯著成果。和業務單位密切合作的安全主管對於向其企業報告安全或風險程度的能力,與獨立作業的安全主管相較,其自信心高出了 8 倍。在當今的經濟環境下,由於全球經濟衰退而使得企業重新評估其開支,這一點更值得注意:85% 與業務單位密切合作的安全主管能夠掌握追蹤網路安全投資報酬率以及對業績影響的指標,而相較於採取較被動回應或獨立作業的安全主管,則只有 25% 能夠掌握這些指標。

就像 Sentara Healthcare 資安長 Dan Bowden 在去年與 Tenable 的訪談中指出:「在當今的環境下,社會對於在風險管理方面做得不錯的公司會給予許多關注,每間企業的每個領導團隊和董事會都希望參與解決問題的過程。如果可以提供他們有關曝險的正確資料 (而這恰好是我們必須要做的事),他們就能瞭解資料並且將資料與風險產生關聯。他們希望能夠參與其中,協助您解決問題並且更加妥善地管理風險。」

為了密切合作,資安長和其他安全及風險管理主管必須結合適當的技術、資料、流程與人員。例如,絕大多數與業務單位密切合作的企業 (80%) 擁有一位業務資訊安全長 (BISO) 或類似的職位,而較沒有密切合作的企業則只有 35% 設有這樣的職位。該研究也顯示,在將關鍵弱點評估流程自動化方面的腳步上,與業務單位密切合作的安全主管和採取較被動回應或獨立作業的安全主管之間為 +66 個百分點和 + 49 個百分點的差距。

1「業務影響」指的是與網路攻擊有關或造成客戶、員工或其他機密資料損失的入侵事件;日常運作中斷;為勒索軟體付出贖金;財務損失或遭竊;和/或智慧財產遭竊。

閱讀部落格系列文章:如何成為與業務單位密切合作的網路安全主管

本系列中的部落格文章著重於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。我們也檢視了 COVID-19 應變策略反映出來的業務與網路安全斷層、探討何以現有的網路安全指標在溝通網路風險時成效不彰、探索與業務單位同步應採取的 5 個步驟,並讓您一窺與業務單位密切合作的網路安全主管如何度過他一天的生活

深入瞭解

  • 參考更多研究重點,請按此處
  • 欲知更多資訊,請按此處
  • 下載完整的「和業務單位密切合作的安全主管之崛起」研究報告,請按此處
  • 閱讀 Sentara Healthcare 如何與高階主管和董事會進行更有意義的討論,請按此處

相關文章

您可以利用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練