如何透過改善網路安全決策流程來降低企業風險
找出可提供正確背景資訊的指標,做出企業在管理、策略和戰術層面的決策,進而提高您的方案成效。
環境瞬息萬變,利用現今 IT 環境的速度和延展性的攻擊者也虎視眈眈,在這種情況下,資安團隊面臨的挑戰只會愈來愈多。 值此重要的資安團隊改革時期,等在前方的是步調快速、錯綜複雜的重重挑戰;現今的資安團隊也要化身風險管理專家。 不論您是其中一個或是多個團隊的一員,您同樣都必須針對企業的多個層面做出決策,才能更有效地緩解風險。
在我們最新的白皮書《鞏固企業風險決策安全策略的 3 個層面》中,我們深入探討了資安團隊需要執行的決策策略 3 大層面:
- 管理
- 策略
- 戰術
每個層面的決策流程有非常細微的差異,而且也相當複雜。我們將在本文說明一些各個層面所需的決策類型範例,以及正確的指標和工具可如何協助您改善三個層面的決策流程,以提升安全方案的成效。
管理層面的決策
在高階主管層級,資安主管要處理兩個不同的決策支援子領域:把與企業安全及風險態勢相關的資訊和指標傳達給公司高層業務主管;還要處理自己的高階主管層級決策,以便為資安團隊提供指引和支援。
為了協助公司高層同事,資安高階主管通常會要求其資安團隊提供各類資訊,藉此做出影響整個企業的業務、營收和責任決策。 為改善此層面的決策流程,資安團隊提供的指標必須以風險為依據,而且制定方式須與業務推動因素保持一致。
例如,業務主管需要在更廣泛的企業目標範圍內傳達安全資訊,如果只是將目光焦點放在端點防護軟體封鎖的惡意軟體程式原始數值,或是本月修補的弱點總數,他們會覺得價值並不高。 這些只是不具任何業務相關背景的總數而已。 資安團隊主管應考量的反而是在既定服務等級協議 (SLA) 時限內消除的已發現關鍵風險弱點百分比,或是依重要業務單位 (例如企業的主要電子商務網站,或紐約的主要資料中心) 區分的風險降低趨勢。
資安主管若能以更廣的角度檢視安全績效,就可為業務高階主管提供寶貴的背景資訊,讓高階主管能夠瞭解安全方案的效果,以及是否有必須投入更多資源的領域,以便進一步緩解和降低企業內部的風險。
單從資安團隊的觀點來看,這些指標代表著所有成員和團隊決策階層的心血結晶。資安長及其他高階主管層級的安全主管可藉此適度判斷其他團隊成員能否順利實現資安團隊的願景,以及策略和戰術層面決策在降低風險上是否確實有效。當然,若這些指標呈現走下坡的趨勢,資安主管就能修正方向並辨識出需要更多管理支援的層面,以便清除障礙、取得更多資源、聘用更多人力或引進額外的外力協助。
策略層面的決策
當您在資安團隊的組織圖中往下看時,您會發現策略層面的決策者 (通常是處長、團隊主管或其他中階經理,但也可能是資深技術專家或分析師) 必須輔助高階主管團隊針對企業的大方向做出更適當的決策,同時也必須協助戰術層面的團隊提高其修復工作的效率和成效,以降低風險。
排定風險的優先順序,是為戰術層面的團隊提供最佳協助的關鍵所在,其中,為了確保企業將資源放在修復工作影響力最大的最重要層面,日常營運決策就至關重要。在您將業務需求轉換成營運執行力時,資產重要性是一項非常重要的資訊:它不僅能協助您瞭解要從何處著手來降低對企業整體來說最為關鍵的風險,也能幫助營運團隊用更有效率、更有效果的方式,來排定工作的優先順序。
無論是透過資產所在地點、網際網路曝險、裝置類型、其支援的業務單位或其他多種因素,瞭解企業資產的業務關鍵性都能協助您將更適宜的風險型方法套用到修復工作流程上。
在安全方案的整體管理工作上,也請務必瞭解原則、流程和程序是否依照既定的方向運作,並隨著時間益發成熟。 策略層面的決策與其他兩個決策層面必須相輔相成。 我們可以透過更好的決策持續微調及改進安全方案,藉此證明方案確實有效,且不斷改進,這對高階管理決策者來說是一項重要的企業價值指標。 您的所作所為在改進安全方案上有其企業價值,您必須讓高階主管瞭解這一點,如此不只對團隊的成功很重要,也可用來協助因應其他預算編列及人力分派的需求。 同樣的,從成熟度的觀點衡量評估和修復流程的成效,不僅能讓策略層面的決策者將資源調度到有需要之處,以改善工作流程,也有益於整體企業需求,進而透過效率及流程最佳化,持續降低風險並推動更高的投資報酬率。
戰術層面的決策
無論資安團隊是否直接參與目前修復工作的營運執行,他們都在協助確實、有效地執行這些日常修補與修復工作上,扮演著重要的角色。
資安團隊可以將發現到的資安問題轉化成具體的建議步驟,讓營運團隊更易於快速瞭解需要執行的工作是什麼,並用有效率的方式建置適當的工作流程,以執行必要的修復步驟。 安全與營運流程嚴密整合指的是整體方案成效有所提升,進而為企業創造更高的價值,並降低更實質的風險。
每一個決策層面的挑戰各不相同。但若有正確的洞察力和觀點,您就能夠確實改善方案成效,並以事實證明。
深入瞭解
- 閱讀白皮書:鞏固企業風險決策安全策略的 3 個層面
- 報名網路研討會: 改善您的安全策略: 精通決策流程的 3 個層面
- 觀看影片:使用 Tenable Lumin 衡量方案效果
相關文章
Cybersecurity Snapshot: 6 Best Practices for Implementing AI Securely and Ethically
May 31, 2024Like many organizations, yours is likely using AI – or at least thinking about deploying it soon. But how can you ensure you use it securely, responsibly, ethically and in compliance with regulations? Check out best practices, guidelines and tips in this special edition of the Tenable Cybersecurity Snapshot!
Tenable Capture the Flag 2023: And the Winners Are...
August 14, 2023It's time to crown the winners of this year's Capture the Flag Event!
Cybersecurity Snapshot: SEC Wants More Cybersecurity Transparency from Public Companies
July 28, 2023Find out what’s in the SEC’s new cybersecurity disclosure rules. Plus, CISA analyzes the cyber risks impacting critical infrastructure organizations. Also, check out guidance for shadow IT and tips to boost your security awareness program. And much more!
How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture
July 11, 2024Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.
Microsoft’s July 2024 Patch Tuesday Addresses 138 CVEs (CVE-2024-38080, CVE-2024-38112)
July 9, 2024Microsoft addresses 138 CVEs in its July 2024 Patch Tuesday release, with five critical vulnerabilities and three zero-day vulnerabilities, two of which were exploited in the wild.
How the regreSSHion Vulnerability Could Impact Your Cloud Environment
July 5, 2024With growing concern over the recently disclosed regreSSHion vulnerability, we’re explaining here what it is, why it’s so significant, what it could mean for your cloud environment and how Tenable Cloud Security can help.
- Executive Management
- Risk-based Vulnerability Management
- Vulnerability Management
- Vulnerability Scanning