Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

如何透過改善網路安全決策流程來降低企業風險

找出可提供正確背景資訊的指標,做出企業在管理、策略和戰術層面的決策,進而提高您的方案成效。

環境瞬息萬變,利用現今 IT 環境的速度和延展性的攻擊者也虎視眈眈,在這種情況下,資安團隊面臨的挑戰只會愈來愈多。 值此重要的資安團隊改革時期,等在前方的是步調快速、錯綜複雜的重重挑戰;現今的資安團隊也要化身風險管理專家。 不論您是其中一個或是多個團隊的一員,您同樣都必須針對企業的多個層面做出決策,才能更有效地緩解風險。 

在我們最新的白皮書《鞏固企業風險決策安全策略的 3 個層面》中,我們深入探討了資安團隊需要執行的決策策略 3 大層面:

  • 管理
  • 策略

  • 戰術


每個層面的決策流程有非常細微的差異,而且也相當複雜。我們將在本文說明一些各個層面所需的決策類型範例,以及正確的指標和工具可如何協助您改善三個層面的決策流程,以提升安全方案的成效。

管理層面的決策

在高階主管層級,資安主管要處理兩個不同的決策支援子領域:把與企業安全及風險態勢相關的資訊和指標傳達給公司高層業務主管;還要處理自己的高階主管層級決策,以便為資安團隊提供指引和支援。

為了協助公司高層同事,資安高階主管通常會要求其資安團隊提供各類資訊,藉此做出影響整個企業的業務、營收和責任決策。 為改善此層面的決策流程,資安團隊提供的指標必須以風險為依據,而且制定方式須與業務推動因素保持一致。

例如,業務主管需要在更廣泛的企業目標範圍內傳達安全資訊,如果只是將目光焦點放在端點防護軟體封鎖的惡意軟體程式原始數值,或是本月修補的弱點總數,他們會覺得價值並不高。 這些只是不具任何業務相關背景的總數而已。 資安團隊主管應考量的反而是在既定服務等級協議 (SLA) 時限內消除的已發現關鍵風險弱點百分比,或是依重要業務單位 (例如企業的主要電子商務網站,或紐約的主要資料中心) 區分的風險降低趨勢

資安主管若能以更廣的角度檢視安全績效,就可為業務高階主管提供寶貴的背景資訊,讓高階主管能夠瞭解安全方案的效果,以及是否有必須投入更多資源的領域,以便進一步緩解和降低企業內部的風險。

如何透過改善網路安全決策流程來降低企業風險_1

單從資安團隊的觀點來看,這些指標代表著所有成員和團隊決策階層的心血結晶。資安長及其他高階主管層級的安全主管可藉此適度判斷其他團隊成員能否順利實現資安團隊的願景,以及策略和戰術層面決策在降低風險上是否確實有效。當然,若這些指標呈現走下坡的趨勢,資安主管就能修正方向並辨識出需要更多管理支援的層面,以便清除障礙、取得更多資源、聘用更多人力或引進額外的外力協助。

策略層面的決策

當您在資安團隊的組織圖中往下看時,您會發現策略層面的決策者 (通常是處長、團隊主管或其他中階經理,但也可能是資深技術專家或分析師) 必須輔助高階主管團隊針對企業的大方向做出更適當的決策,同時也必須協助戰術層面的團隊提高其修復工作的效率和成效,以降低風險。

排定風險的優先順序,是為戰術層面的團隊提供最佳協助的關鍵所在,其中,為了確保企業將資源放在修復工作影響力最大的最重要層面,日常營運決策就至關重要。在您將業務需求轉換成營運執行力時,資產重要性是一項非常重要的資訊:它不僅能協助您瞭解要從何處著手來降低對企業整體來說最為關鍵的風險,也能幫助營運團隊用更有效率、更有效果的方式,來排定工作的優先順序。

無論是透過資產所在地點、網際網路曝險、裝置類型、其支援的業務單位或其他多種因素,瞭解企業資產的業務關鍵性都能協助您將更適宜的風險型方法套用到修復工作流程上。

如何透過改善網路安全決策流程來降低企業風險_2

在安全方案的整體管理工作上,也請務必瞭解原則、流程和程序是否依照既定的方向運作,並隨著時間益發成熟。 策略層面的決策與其他兩個決策層面必須相輔相成。 我們可以透過更好的決策持續微調及改進安全方案,藉此證明方案確實有效,且不斷改進,這對高階管理決策者來說是一項重要的企業價值指標。 您的所作所為在改進安全方案上有其企業價值,您必須讓高階主管瞭解這一點,如此不只對團隊的成功很重要,也可用來協助因應其他預算編列及人力分派的需求。 同樣的,從成熟度的觀點衡量評估和修復流程的成效,不僅能讓策略層面的決策者將資源調度到有需要之處,以改善工作流程,也有益於整體企業需求,進而透過效率及流程最佳化,持續降低風險並推動更高的投資報酬率。

如何透過改善網路安全決策流程來降低企業風險_3

戰術層面的決策

無論資安團隊是否直接參與目前修復工作的營運執行,他們都在協助確實、有效地執行這些日常修補與修復工作上,扮演著重要的角色。 

資安團隊可以將發現到的資安問題轉化成具體的建議步驟,讓營運團隊更易於快速瞭解需要執行的工作是什麼,並用有效率的方式建置適當的工作流程,以執行必要的修復步驟。 安全與營運流程嚴密整合指的是整體方案成效有所提升,進而為企業創造更高的價值,並降低更實質的風險。

如何透過改善網路安全決策流程來降低企業風險_4

每一個決策層面的挑戰各不相同。但若有正確的洞察力和觀點,您就能夠確實改善方案成效,並以事實證明。

深入瞭解 

相關文章

您可以利用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練